Plateforme
nodejs
Composant
siyuan-note
Corrigé dans
3.6.5
La vulnérabilité CVE-2026-40322 concerne SiYuan, un système de gestion des connaissances personnelles open-source. Elle se manifeste par une faille de Cross-Site Scripting (XSS) exploitée via le rendu de diagrammes Mermaid avec un paramètre securityLevel configuré sur "loose". Dans les versions 3.6.3 et antérieures, cette vulnérabilité peut conduire à l'exécution de code arbitraire, particulièrement sur les versions Electron, où l'intégration de Node.js est activée et l'isolation de contexte désactivée.
Un attaquant peut exploiter cette vulnérabilité en insérant du code JavaScript malveillant dans un bloc Mermaid au sein d'une note. Ce code, après avoir survécu au rendu SVG, peut être exécuté dans le contexte du navigateur de la victime. Sur les versions SiYuan basées sur Electron, l'absence d'isolation de contexte permet à ce code XSS de s'élever à une exécution de code arbitraire sur la machine de la victime. Cela signifie qu'un attaquant pourrait potentiellement compromettre l'ensemble du système, voler des données sensibles, installer des logiciels malveillants ou prendre le contrôle de la machine. Le risque est amplifié par le fait que SiYuan est souvent utilisé pour stocker des informations personnelles et professionnelles sensibles.
Cette vulnérabilité a été divulguée publiquement le 16 avril 2026. Bien qu'aucun exploit public n'ait été largement diffusé à ce jour, la nature critique de la vulnérabilité et la possibilité d'exécution de code arbitraire suggèrent un risque d'exploitation élevé. Il est probable que des acteurs malveillants explorent activement cette vulnérabilité. Il n'est pas encore listé sur le KEV de CISA, mais sa sévérité pourrait entraîner son ajout à l'avenir.
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
La solution principale consiste à mettre à jour SiYuan vers la version 3.6.4 ou supérieure, qui corrige cette vulnérabilité. En attendant, une mesure d'atténuation temporaire consiste à désactiver le rendu des diagrammes Mermaid ou à configurer le paramètre securityLevel sur "strict". Il est également recommandé de mettre en place une politique de sécurité stricte concernant l'ouverture de notes provenant de sources non fiables. Sur les systèmes Electron, l'activation de l'isolation de contexte peut réduire l'impact de l'exploitation, mais ne constitue pas une solution complète. Surveillez les journaux d'accès et d'erreurs pour détecter des tentatives d'injection de code malveillant.
Actualice a la versión 3.6.4 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la forma en que se renderizan los diagramas Mermaid, evitando la inyección de código JavaScript malicioso y previniendo la ejecución de código arbitrario en el entorno Electron.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
SiYuan is an open-source personal knowledge management system.
Version 3.6.4 fixes the CVE-2026-40322 vulnerability, preventing the execution of malicious code.
They are Electron configurations that control the access of JavaScript code to system resources. Disabling nodeIntegration and enabling contextIsolation increases security.
If you have been using a version prior to 3.6.4 and have opened documents from untrusted sources, you may have been affected. Monitor system activity for unusual behavior.
Update SiYuan to the latest version, run a full antivirus scan, and consider changing the passwords for your important accounts.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.