SiYuan: 寛容な CORS (Cross-Origin Resource Sharing) ポリシーと JavaScript スニペットインジェクションによるクロスオリジン RCE (Remote Code Execution)

SiYuanのCVE-2026-34449脆弱性は、ソフトウェアを実行している任意のデスクトップでリモートコード実行（RCE）を可能にします。これは、過度に寛容なクロスオリジンリソース共有（CORS）構成が原因であり、悪意のあるWebサイトがSiYuan API経由でJavaScriptコードを挿入することを可能にします。Access-Control-Allow-Origin: *の設定とAccess-Control-Allow-Private-Network: trueが、この挿入を容易にします。コードが挿入されると、SiYuan内のElectron Node.jsコンテキストで実行され、攻撃者にオペレーティングシステムへの完全アクセス権を付与します。SiYuanが実行されている間、悪意のあるWebサイトを訪問する以上のユーザー操作は必要ありません。

Users of SiYuan who are running versions prior to 3.6.2 are at significant risk. This includes individuals using SiYuan for personal note-taking, as well as organizations that rely on SiYuan for collaborative knowledge management. Users who frequently visit untrusted websites or have a history of clicking on suspicious links are particularly vulnerable.

• linux / server: Monitor SiYuan's API endpoints for unusual JavaScript requests using journalctl -f -u siyuan. Look for POST requests containing suspicious JavaScript code. • generic web: Use curl to test SiYuan's API endpoints with crafted requests containing JavaScript payloads. Examine the response headers for any signs of code execution. • windows / supply-chain: Monitor PowerShell execution logs (Get-WinEvent -LogName Application -Filter "[System[Provider[@Name='PowerShell']]]" | Where-Object {$_.Message -like 'siyuan'}) • database (generic): Examine SiYuan's configuration files for any unusual CORS settings or API keys that could be exploited.

1. 2026-03-31Disclosure

   disclosure

2. 2026-03-31Patch

   patch

1. 予約済み2026-03-27
2. 公開日2026-03-31
3. 更新日2026-04-06
4. EPSS 更新日2026-04-08

推奨される解決策は、SiYuanをバージョン3.6.2以降にアップデートすることです。このバージョンは、CORS構成を制限し、悪意のあるコードの挿入の可能性を排除します。すぐにアップデートできない場合は、SiYuan APIを使用していない場合は無効にすることをお勧めします。また、SiYuanが実行されている間は、不明なWebサイトや疑わしいWebサイトを訪問する際には注意が必要です。SiYuanのネットワークアクティビティを監視することも、潜在的な悪用を検出するのに役立ちます。