Scanner gratuitement
CRITICALCVE-2026-34448CVSS 9

SiYuan: Stored XSS dans la Galerie de Vue d'Attribut/Rendu de Couverture Kanban Permet l'Exécution Arbitraire de Commandes dans le Client de Bureau

Plateforme

go

Composant

github.com/siyuan-note/siyuan/kernel

Corrigé dans

3.6.3

3.6.2

AI Confidence: highNVDEPSS 0.0%Révisé: mai 2026
Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-34448 est une faille de type Cross-Site Scripting (XSS) critique découverte dans le noyau de Siyuan, un logiciel de prise de notes. Un attaquant peut exploiter cette faille en insérant une URL malveillante dans un champ mAsse d'une Vue d'Attribut. L'impact est l'exécution potentielle de code JavaScript arbitraire, affectant les versions antérieures à 3.6.2. Une version corrigée (3.6.2) est disponible.

Go

Détecte cette CVE dans ton projet

Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.

Téléverser go.mod

Impact et Scénarios d'Attaque

Cette vulnérabilité XSS stockée permet à un attaquant d'injecter du code JavaScript malveillant qui sera exécuté dans le navigateur d'un utilisateur lorsqu'il ouvre la Galerie ou la Vue Kanban avec l'option « Couverture à partir -> Champ d'Actif » activée. Le code vulnérable accepte des URL http(s) arbitraires sans extensions, les stocke dans coverURL et les injecte directement dans un attribut <img src="..."> sans échappement. Dans le client Electron de bureau, le JavaScript injecté s'exécute avec nodeIntegration activé et contextIsolation désactivé, ce qui permet une exécution de commandes OS arbitraires. Cela représente un risque majeur de compromission du système, permettant potentiellement le vol de données sensibles, l'installation de logiciels malveillants ou le contrôle total de la machine de la victime.

Contexte d'Exploitation

Cette vulnérabilité a été rendue publique le 2026-03-31. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la gravité élevée de la vulnérabilité et la disponibilité d'une version corrigée suggèrent qu'elle pourrait devenir une cible pour les attaquants. La possibilité d'exécution de commandes OS arbitraires dans le client Electron rend cette vulnérabilité particulièrement préoccupante. Il est conseillé de surveiller les sources d'informations sur les menaces pour détecter toute activité suspecte.

Qui Est à Risquetraduction en cours…

Users of Siyuan who utilize the Gallery or Kanban views with “Cover From -> Asset Field” enabled are at significant risk. This includes users who rely on Siyuan for sensitive note-taking or collaboration, as the vulnerability could lead to data theft or system compromise. Organizations using Siyuan in shared hosting environments are particularly vulnerable, as a compromised account could potentially impact other users on the same server.

Étapes de Détectiontraduction en cours…

• windows / supply-chain:

Get-WinEvent -LogName Application -Filter "EventID=1000 -Message contains 'siyuan'"

• linux / server:

journalctl -u siyuan | grep -i 'error' -i 'warning'

• wordpress / composer / npm: N/A • database (mysql, redis, mongodb, postgresql): N/A • generic web: N/A

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

EPSS

0.05% (percentile 15%)

CISA SSVC

Exploitationpoc
Automatisableno
Impact Techniquetotal

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H9.0CRITICALAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredLowNiveau d'authentification requisUser InteractionRequiredSi une action de la victime est requiseScopeChangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityHighRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Faible — tout compte utilisateur valide est suffisant.
User Interaction
Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
Scope
Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composantgithub.com/siyuan-note/siyuan/kernel
Fournisseurosv
Plage affectéeCorrigé dans
< 3.6.2 – < 3.6.23.6.3
3.6.2

Classification de Faiblesse (CWE)

CWE-79CWE-94

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour

Mitigation et Contournements

La mitigation principale consiste à mettre à jour Siyuan Kernel vers la version 3.6.2, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être envisagées. Désactivez l'option « Couverture à partir -> Champ d'Actif » dans la Galerie et la Vue Kanban pour réduire la surface d'attaque. Envisagez l'utilisation d'un pare-feu applicatif web (WAF) pour filtrer les requêtes suspectes contenant des URL malveillantes. Surveillez les journaux d'accès et d'erreurs pour détecter des tentatives d'injection de code JavaScript. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en tentant d'injecter une URL malveillante dans un champ mAsse et en vérifiant qu'elle n'est pas exécutée.

Comment corriger

Mettez à jour SiYuan à la version 3.6.2 ou ultérieure. Cela corrige la vulnérabilité XSS stockée qui permet l'exécution de commandes arbitraires dans le client de bureau.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentestraduction en cours…

What is CVE-2026-34448 — XSS in Siyuan Kernel?

CVE-2026-34448 is a critical stored XSS vulnerability in the Siyuan Kernel, allowing attackers to inject malicious URLs into Attribute View fields, potentially leading to OS command execution.

Am I affected by CVE-2026-34448 in Siyuan Kernel?

You are affected if you are using Siyuan Kernel versions prior to 3.6.2 and have the “Cover From -> Asset Field” feature enabled in Gallery or Kanban views.

How do I fix CVE-2026-34448 in Siyuan Kernel?

Upgrade to Siyuan version 3.6.2 or later to remediate the vulnerability. Temporarily disabling “Cover From -> Asset Field” can reduce the attack surface.

Is CVE-2026-34448 being actively exploited?

While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high probability of active exploitation.

Where can I find the official Siyuan advisory for CVE-2026-34448?

Refer to the official Siyuan release notes and security advisories on the Siyuan GitHub repository for the latest information.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE