SiYuan est vulnérable à une exécution de code à distance inter-origine (RCE) via une politique CORS permissive et une injection de snippet JavaScript

Cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire sur la machine de la victime simplement en la faisant visiter un site web malveillant pendant que SiYuan est en cours d'exécution. L'attaquant n'a besoin d'aucune interaction supplémentaire de la part de l'utilisateur. Le script injecté s'exécute dans le contexte de Node.js d'Electron, ce qui lui confère un accès complet au système d'exploitation. Cela pourrait permettre le vol de données sensibles, l'installation de logiciels malveillants, le contrôle à distance de la machine, ou même l'accès à d'autres systèmes sur le réseau local, en fonction des privilèges de l'utilisateur SiYuan. L'absence d'authentification requise pour l'exploitation rend cette vulnérabilité particulièrement dangereuse.

Users of SiYuan who are running versions prior to 3.6.2 are at significant risk. This includes individuals using SiYuan for personal note-taking, as well as organizations that rely on SiYuan for collaborative knowledge management. Users who frequently visit untrusted websites or have a history of clicking on suspicious links are particularly vulnerable.

• linux / server: Monitor SiYuan's API endpoints for unusual JavaScript requests using journalctl -f -u siyuan. Look for POST requests containing suspicious JavaScript code. • generic web: Use curl to test SiYuan's API endpoints with crafted requests containing JavaScript payloads. Examine the response headers for any signs of code execution. • windows / supply-chain: Monitor PowerShell execution logs (Get-WinEvent -LogName Application -Filter "[System[Provider[@Name='PowerShell']]]" | Where-Object {$_.Message -like 'siyuan'}) • database (generic): Examine SiYuan's configuration files for any unusual CORS settings or API keys that could be exploited.

1. 2026-03-31Disclosure

   disclosure

2. 2026-03-31Patch

   patch

1. Réservé2026-03-27
2. Publiée2026-03-31
3. Modifiée2026-04-06
4. EPSS mis à jour2026-04-08

La mitigation principale consiste à mettre à jour SiYuan vers la version 3.6.2 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à bloquer les requêtes CORS provenant de domaines non autorisés au niveau du pare-feu ou du proxy inverse. Il est également possible de désactiver temporairement les fonctionnalités qui utilisent l'API, bien que cela puisse affecter la fonctionnalité de SiYuan. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte, notamment les requêtes POST inhabituelles vers l'API de SiYuan. Une fois la mise à jour appliquée, vérifiez que la configuration CORS est correctement restreinte en consultant les en-têtes de réponse HTTP de l'API SiYuan.