SiYuan Desktop: Stored XSS dans le contenu importé .sy.zip conduit à l'exécution de commandes arbitraires

L'exploitation de cette vulnérabilité permet à un attaquant de créer un document SiYuan (.sy) contenant des attributs malveillants. Ce document est ensuite compressé en un fichier .sy.zip et importé par la victime via la fonctionnalité d'importation standard. Une fois le document ouvert, les attributs malveillants s'échappent de leur contexte HTML initial, injectant un gestionnaire d'événements. Dans le client Electron, cette injection XSS aboutit à une exécution de code à distance, car le JavaScript injecté s'exécute avec les privilèges de l'application. Cela pourrait permettre à un attaquant de voler des informations sensibles, de modifier le comportement de l'application, ou même de prendre le contrôle du système de la victime.

Users of Siyuan's Electron desktop client are particularly at risk due to the potential for Remote Code Execution. Individuals who frequently import .sy documents from external sources, especially those who share notes or collaborate with others, are also at higher risk. Shared hosting environments where multiple users share the same Siyuan installation are also vulnerable.

• windows / supply-chain: Monitor PowerShell execution for suspicious commands related to file manipulation and import processes. Check Autoruns for unusual entries related to Siyuan.

Get-Process -Name siyuan | Select-Object -ExpandProperty Path

• linux / server: Monitor system logs (journalctl) for errors or unusual activity related to Siyuan's import functionality.

journalctl -u siyuan -f | grep -i error

• generic web: Examine access and error logs for requests related to importing .sy.zip files. Check for unusual characters or patterns in the request parameters. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability does not directly impact databases.

1. 2026-04-01Disclosure

   disclosure

2. 2026-03-29Patch

   patch

1. Réservé2026-03-30
2. Publiée2026-04-01
3. Modifiée2026-04-06
4. EPSS mis à jour2026-04-08

La mitigation principale consiste à mettre à jour SiYuan vers la version corrigée 0.0.0-20260329142331-918d1bd9f967. Si la mise à jour est problématique, envisagez de restaurer une sauvegarde antérieure à l'importation du document suspect. En attendant, désactivez temporairement la fonctionnalité d'importation de fichiers .sy.zip si possible. Surveillez les logs d'accès et d'erreurs pour détecter des tentatives d'importation de fichiers suspects. Bien qu'il n'existe pas de signature Sigma ou YARA spécifique, une analyse du code source pourrait révéler des motifs d'injection XSS à surveiller.