CRITICALCVE-2026-34448CVSS 9

SiYuan: 属性ビューギャラリー/カンバンカバーレンダリングにおけるStored XSSにより、デスクトップクライアントで任意のコマンド実行が可能

プラットフォーム

コンポーネント

github.com/siyuan-note/siyuan/kernel

修正版

3.6.3

3.6.2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-34448は、Siyuan Kernelにおいて発見されたクロスサイトスクリプティング(XSS)の脆弱性です。この脆弱性は、攻撃者が悪意のあるURLをAttribute ViewのmAsseフィールドに配置することで、GalleryまたはKanbanビューでXSSを誘発する可能性があります。影響を受けるバージョンは3.6.2以前であり、3.6.2へのアップデートによって脆弱性が修正されています。

影響と攻撃シナリオ

このXSS脆弱性を悪用されると、攻撃者はSiyuanアプリケーションを実行しているユーザーのブラウザ上で任意のJavaScriptコードを実行できます。これにより、機密情報の窃取、セッションハイジャック、さらにはOSコマンドの実行といった深刻な被害が発生する可能性があります。特に、ElectronデスクトップクライアントではnodeIntegrationが有効でcontextIsolationが無効になっているため、JavaScriptコードはOSコマンドを実行できる可能性があります。攻撃者は、悪意のあるURLをAttribute Viewに配置し、被害者がGalleryまたはKanbanビューを開いた際にXSSを誘発することで、これらの攻撃を実行できます。

悪用の状況

この脆弱性は2026年3月31日に公開されました。現時点では、公開されているPoCは確認されていませんが、XSS脆弱性の性質上、PoCが公開される可能性は高いと考えられます。CISA KEVへの登録状況は不明です。Siyuan Kernelの利用者は、この脆弱性に対する警戒を怠らず、速やかにアップデートを実施する必要があります。

リスク対象者翻訳中…

Users of Siyuan who utilize the Gallery or Kanban views with “Cover From -> Asset Field” enabled are at significant risk. This includes users who rely on Siyuan for sensitive note-taking or collaboration, as the vulnerability could lead to data theft or system compromise. Organizations using Siyuan in shared hosting environments are particularly vulnerable, as a compromised account could potentially impact other users on the same server.

検出手順翻訳中…

• windows / supply-chain:

Get-WinEvent -LogName Application -Filter "EventID=1000 -Message contains 'siyuan'"

• linux / server:

journalctl -u siyuan | grep -i 'error' -i 'warning'

• wordpress / composer / npm: N/A • database (mysql, redis, mongodb, postgresql): N/A • generic web: N/A

攻撃タイムライン

2026-03-31Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.05% (15% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントgithub.com/siyuan-note/siyuan/kernel

ベンダーosv

影響範囲修正版

< 3.6.2 – < 3.6.23.6.3

—3.6.2

弱点分類 (CWE)

CWE-79 CWE-94

タイムライン

予約済み2026-03-27
公開日2026-03-31
更新日2026-04-06
EPSS 更新日2026-04-08

緩和策と回避策

この脆弱性への対応策として、Siyuan Kernelをバージョン3.6.2にアップデートすることを推奨します。アップデートが利用できない場合、一時的な回避策として、Attribute ViewのmAsseフィールドへのURL入力制限を設ける、またはGalleryとKanbanビューにおける“Cover From -> Asset Field”機能を無効にすることを検討してください。また、WAFやプロキシサーバーを導入し、悪意のあるURLパターンを検出・ブロックすることも有効です。アップデート後、アプリケーションを再起動し、GalleryまたはKanbanビューでAttribute ViewからURLを開くことで、脆弱性が修正されていることを確認してください。

修正方法

SiYuanをバージョン3.6.2以降にアップデートしてください。これにより、デスクトップクライアントで任意のコマンド実行を可能にするStored XSS脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-34448 — XSS in Siyuan Kernelとは何ですか？

CVE-2026-34448は、Siyuan Kernelにおいて発見されたクロスサイトスクリプティング(XSS)の脆弱性です。Attribute Viewに悪意のあるURLを配置することで、GalleryまたはKanbanビューでXSSを誘発される可能性があります。

CVE-2026-34448 in Siyuan Kernelに影響を受けますか？

Siyuan Kernelのバージョン3.6.2以前を利用している場合は、影響を受ける可能性があります。速やかにバージョン3.6.2にアップデートしてください。

CVE-2026-34448 in Siyuan Kernelを修正するにはどうすればよいですか？

Siyuan Kernelをバージョン3.6.2にアップデートすることで脆弱性を修正できます。アップデートが利用できない場合は、一時的な回避策として、Attribute ViewへのURL入力制限を設けるか、GalleryとKanbanビューの機能を無効にしてください。

CVE-2026-34448は積極的に悪用されていますか？

現時点では、積極的に悪用されているという報告はありませんが、XSS脆弱性の性質上、悪用される可能性はあります。

CVE-2026-34448に関するSiyuan公式のアドバイザリはどこで入手できますか？

Siyuanの公式アドバイザリは、SiyuanのウェブサイトまたはGitHubリポジトリで確認できます。