Plateforme
go
Composant
siyuan-note
Corrigé dans
3.6.5
0.0.0-20260414013942-62eed37a3263
CVE-2026-40922 describes a stored Cross-Site Scripting (XSS) vulnerability within the SiYuan note-taking application. This flaw arises from an incomplete fix regarding the rendering of bazaar (marketplace) README files, allowing attackers to inject malicious scripts. The vulnerability affects versions 3.6.1 through 3.6.4 and can lead to arbitrary code execution within the application's Electron context. A fix has been released in version 3.6.4.
La vulnérabilité CVE-2026-40922 dans SiYuan, en particulier lors du rendu des README de Bazaar, permet une attaque de Cross-Site Scripting (XSS) stockée. Une correction incomplète a activé le sanitiseur HTML Lute, mais n'a pas bloqué les balises <iframe> avec l'attribut srcdoc. Cela permet à un attaquant d'injecter du code JavaScript malveillant dans l'attribut srcdoc d'une balise <iframe>. Ce code s'exécute dans le contexte de l'application Electron de SiYuan, ce qui pourrait entraîner le vol d'informations sensibles, la modification de l'interface utilisateur ou même le contrôle total de l'application. La gravité de cette vulnérabilité réside dans la possibilité de compromettre la sécurité de l'utilisateur et l'intégrité des données au sein de SiYuan.
Un attaquant pourrait exploiter cette vulnérabilité en insérant un README malveillant dans un référentiel Bazaar. Lorsqu'un utilisateur importe ce référentiel dans SiYuan, le README sera rendu, exécutant le code JavaScript malveillant contenu dans l'attribut srcdoc de la balise <iframe>. L'exécution du script se produit dans le contexte de l'application Electron, ce qui donne à l'attaquant accès aux fonctions et aux données de SiYuan. La complexité de l'exploitation est relativement faible, car elle ne nécessite que la création d'un README malveillant et l'incitation d'un utilisateur à l'importer.
Users of SiYuan who rely on bazaar packages for extensions or themes are at particular risk. This includes users who frequently install packages from untrusted sources or those who share their SiYuan data with others. Legacy configurations or deployments with outdated security practices are also more vulnerable.
• linux / server: Monitor SiYuan's log files for unusual activity related to bazaar package rendering. Look for patterns indicative of HTML injection attempts.
grep -i "<iframe>" /path/to/siyuan/logs/readme.log• generic web: Inspect network traffic for requests to SiYuan's bazaar endpoints with suspicious parameters or payloads.
curl -v <siyuan_url>/api/bazaar/packages | grep <iframe>disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
L'atténuation principale pour CVE-2026-40922 consiste à mettre à niveau vers la version 3.6.4 ou ultérieure de SiYuan. Cette version inclut la correction complète qui bloque les balises <iframe> et leurs attributs srcdoc, empêchant l'exécution de scripts malveillants. En attendant la mise à niveau, évitez d'importer les README de Bazaar à partir de sources non fiables. De plus, examinez et nettoyez tout README importé précédemment qui pourrait contenir du code malveillant. Surveiller l'activité inhabituelle au sein de l'application SiYuan peut également aider à détecter les attaques potentielles.
Actualice a la versión 3.6.4 o posterior para mitigar la vulnerabilidad. Esta versión corrige la sanitización incompleta de las etiquetas iframe en el README de los paquetes de bazaar, previniendo la ejecución de código malicioso en el contexto de la aplicación.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
SiYuan est une application de prise de notes open source dotée de capacités de gestion des connaissances.
Cette mise à jour corrige une vulnérabilité de sécurité qui pourrait permettre aux attaquants d'exécuter du code malveillant sur votre appareil.
Si vous utilisez une version de SiYuan antérieure à la 3.6.4, vous êtes probablement affecté.
Mettez à jour vers la dernière version de SiYuan immédiatement et analysez votre système à la recherche de signes de compromission.
Évitez d'importer les README de Bazaar à partir de sources non fiables jusqu'à ce que vous puissiez mettre à jour vers la dernière version.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.