Plateforme
go
Composant
github.com/siyuan-note/siyuan/kernel
Corrigé dans
3.6.5
0.0.0-20260407035653-2f416e5253f1
La vulnérabilité CVE-2026-39846 est une faille de type Cross-Site Scripting (XSS) critique découverte dans le noyau de SiYuan, un client de prise de notes de bureau. Cette faille permet à un attaquant d'exécuter du code à distance en synchronisant une note malveillante dans un espace de travail partagé. La vulnérabilité affecte les versions antérieures à 0.0.0-20260407035653-2f416e5253f1 et a été publiée le 8 avril 2026. Une mise à jour est disponible pour corriger ce problème.
L'impact de cette vulnérabilité est significatif. Un attaquant peut insérer une note malveillante dans un espace de travail SiYuan synchronisé. Lorsque la victime ouvre cette note, le code JavaScript malveillant s'exécute dans le contexte du navigateur Electron de SiYuan. Étant donné que le rendu de bureau utilise nodeIntegration et que contextIsolation est désactivé, le code malveillant a un accès complet aux API Node.js, permettant un contrôle total sur l'application et potentiellement l'accès aux données sensibles stockées localement ou synchronisées. Cela peut conduire au vol d'informations, à la modification de données ou à la prise de contrôle complète du système de la victime.
Cette vulnérabilité a été rendue publique le 8 avril 2026. Il n'y a pas d'indication d'une inclusion dans le KEV de CISA à ce jour. Bien qu'un proof-of-concept public n'ait pas encore été largement diffusé, la nature de la vulnérabilité XSS et l'accès aux API Node.js rendent l'exploitation relativement simple, ce qui augmente la probabilité d'une exploitation rapide. La publication rapide de la correction suggère une prise de conscience précoce du risque.
Users of SiYuan who utilize note syncing are particularly at risk. This includes teams collaborating on shared workspaces and individuals who regularly import notes from external sources. Legacy configurations with older versions of SiYuan are also highly vulnerable, as they have not received the security patch. Shared hosting environments where multiple users share the same SiYuan instance are also at increased risk.
• windows / supply-chain:
Get-Process -Name SiYuan | Select-Object -ExpandProperty Path• linux / server:
ps aux | grep siyuan• generic web:
curl -I https://your-siyuan-instance.com/ | grep -i 'X-Content-Type-Options: nosniff'disclosure
patch
Statut de l'Exploit
EPSS
0.14% (percentile 34%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour SiYuan Kernel vers la version corrigée 0.0.0-20260407035653-2f416e5253f1. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement la synchronisation des espaces de travail ou de restreindre l'accès aux espaces de travail partagés. En attendant la mise à jour, examinez attentivement toutes les notes importées, en particulier celles provenant de sources non fiables. Il n'existe pas de règles WAF ou de correctifs spécifiques à appliquer, la mise à jour du noyau est essentielle. Après la mise à jour, vérifiez que la synchronisation fonctionne correctement et que les notes importées ne présentent aucun comportement suspect.
Mettez à jour vers la version 3.6.4 ou ultérieure pour atténuer la vulnérabilité d'exécution de code à distance. Cette version corrige le problème d'échappement non sécurisé dans les légendes de tableaux, empêchant l'injection de code malveillant via des notes synchronisées.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39846 is a critical XSS vulnerability in the SiYuan Kernel, allowing malicious notes to trigger remote code execution through unescaped table captions.
You are affected if you are using SiYuan Kernel versions prior to 0.0.0-20260407035653-2f416e5253f1, especially if you utilize note syncing.
Upgrade to version 0.0.0-20260407035653-2f416e5253f1 or later. Temporarily disable note syncing if immediate upgrade is not possible.
While no active exploitation has been confirmed, the critical severity and potential for easy exploitation suggest a high likelihood of future exploitation.
Refer to the official SiYuan security advisory for detailed information and updates: [https://github.com/siyuan-note/siyuan/security/advisories/GHSA-xxxx-xxxx-xxxx]
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.