मुफ्त स्कैन करें
CRITICALCVE-2026-40322CVSS 9.1

SiYuan: Mermaid `javascript:` लिंक इंजेक्शन से संग्रहीत XSS और इलेक्ट्रॉन RCE होता है

प्लेटफ़ॉर्म

nodejs

घटक

siyuan-note

में ठीक किया गया

3.6.5

AI Confidence: highNVDEPSS 0.0%समीक्षित: अप्रैल 2026
NVD पर देखें
सहेजें

CVE-2026-40322 SiYuan ज्ञान प्रबंधन प्रणाली में एक गंभीर क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण JavaScript कोड इंजेक्ट करने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील जानकारी का खुलासा हो सकता है या सिस्टम पर अनधिकृत कार्रवाई की जा सकती है। यह भेद्यता SiYuan के संस्करण 3.6.0 से 3.6.4 तक के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, SiYuan को संस्करण 3.6.4 में अपग्रेड करने की सिफारिश की जाती है।

प्रभाव और हमले की स्थितियाँ

इस XSS भेद्यता का शोषण करने वाला हमलावर, Mermaid आरेख कोड ब्लॉक में दुर्भावनापूर्ण JavaScript URL इंजेक्ट कर सकता है। SiYuan असुरक्षित रूप से इन आरेखों को रेंडर करता है, जिससे यह कोड सीधे DOM में इंजेक्ट हो जाता है। डेस्कटॉप बिल्ड में, Electron का उपयोग किया जाता है, और विंडो में nodeIntegration सक्षम और contextIsolation अक्षम होता है। इसका मतलब है कि एक हमलावर एक दुर्भावनापूर्ण Mermaid ब्लॉक वाले नोट को खोलने और आरेख नोड पर क्लिक करने वाले किसी भी उपयोगकर्ता के लिए, संग्रहीत XSS को मनमाना कोड निष्पादन में बढ़ाया जा सकता है। यह हमलावर को उपयोगकर्ता के ब्राउज़र में मनमाना JavaScript कोड चलाने की अनुमति देगा, जिससे वे सत्र कुकीज़ चुरा सकते हैं, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकते हैं, या सिस्टम पर अन्य दुर्भावनापूर्ण कार्रवाई कर सकते हैं।

शोषण संदर्भ

यह भेद्यता अभी तक CISA KEV सूची में शामिल नहीं की गई है, लेकिन इसकी गंभीरता को देखते हुए, भविष्य में इसे जोड़ा जा सकता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। इस भेद्यता का सार्वजनिक प्रकाशन 2026-04-16 को हुआ था।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.05% (15% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H9.1CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकsiyuan-note
विक्रेताsiyuan-note
प्रभावित श्रेणीमें ठीक किया गया
< 3.6.4 – < 3.6.43.6.5

कमजोरी वर्गीकरण (CWE)

CWE-79CWE-94

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-40322 के प्रभाव को कम करने के लिए, SiYuan को तुरंत संस्करण 3.6.4 में अपग्रेड करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, Mermaid आरेखों में उपयोगकर्ता इनपुट को मान्य और सैनिटाइज करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू किया जा सकता है। इसके अतिरिक्त, SiYuan सर्वर पर लॉगिंग और मॉनिटरिंग को बढ़ाया जाना चाहिए ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एक परीक्षण आरेख के साथ Mermaid आरेख रेंडर करके सत्यापित करें।

कैसे ठीक करें

इस भेद्यता को कम करने के लिए संस्करण 3.6.4 या बाद के संस्करण में अपडेट करें। यह अपडेट Mermaid आरेखों को प्रस्तुत करने के तरीके को ठीक करता है, जिससे दुर्भावनापूर्ण JavaScript कोड का इंजेक्शन और इलेक्ट्रॉन वातावरण में मनमाना कोड निष्पादन को रोका जा सकता है।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-40322 — XSS SiYuan ज्ञान प्रबंधन प्रणाली में क्या है?

CVE-2026-40322 SiYuan के संस्करण 3.6.0 से 3.6.4 तक में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण JavaScript कोड इंजेक्ट करने की अनुमति देती है।

क्या मैं CVE-2026-40322 से SiYuan ज्ञान प्रबंधन प्रणाली में प्रभावित हूं?

यदि आप SiYuan के संस्करण 3.6.0 से 3.6.4 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2026-40322 से SiYuan ज्ञान प्रबंधन प्रणाली को कैसे ठीक करूं?

CVE-2026-40322 को ठीक करने के लिए, SiYuan को संस्करण 3.6.4 में अपग्रेड करें।

क्या CVE-2026-40322 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि सार्वजनिक रूप से उपलब्ध PoC अभी तक नहीं देखा गया है, भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है।

CVE-2026-40322 के लिए आधिकारिक SiYuan सलाहकार कहां मिल सकता है?

आधिकारिक SiYuan सलाहकार के लिए, कृपया SiYuan की वेबसाइट या GitHub रिपॉजिटरी देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें