HIGHCVE-2026-34585CVSS 8.6

SiYuan Desktop: 読み込まれた.sy.zipコンテンツ内のStored XSSにより、任意のコマンド実行が可能になる

Q: CVE-2026-34585 — XSS in Siyuan Kernelとは何ですか？

CVE-2026-34585は、Siyuan Kernelにおいて、HTMLエンティティと特殊文字が混在する悪意のあるブロック属性値により、サーバー側の属性エスケープを回避するXSS脆弱性です。

Q: CVE-2026-34585 in Siyuan Kernelに影響を受けますか？

Siyuan Kernelのバージョンが0.0.0-20260329142331-918d1bd9f967より前のバージョンを使用している場合、影響を受ける可能性があります。

Q: CVE-2026-34585 in Siyuan Kernelを修正するにはどうすればよいですか？

Siyuan Kernelをバージョン0.0.0-20260329142331-918d1bd9f967にアップデートしてください。

Q: CVE-2026-34585のSiyuan公式アドバイザリはどこで入手できますか？

Siyuanの公式ウェブサイトまたはGitHubリポジトリで、CVE-2026-34585に関するアドバイザリをご確認ください。

プラットフォーム

コンポーネント

github.com/siyuan-note/siyuan/kernel

修正版

3.6.3

0.0.0-20260329142331-918d1bd9f967

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-34585は、Siyuan Kernelにおけるクロスサイトスクリプティング（XSS）脆弱性です。この脆弱性は、悪意のあるブロック属性値がサーバー側の属性エスケープを回避し、HTMLコンテキストから抜け出すことを可能にします。影響を受けるバージョンは、0.0.0-20260329142331-918d1bd9f967より前のバージョンです。この脆弱性は、Electronデスクトップクライアントにおいてリモートコード実行につながる可能性があります。最新バージョンへのアップデートを推奨します。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者が悪意のあるIAL値を.syドキュメントに埋め込み、それを.sy.zipとしてパッケージ化し、被害者にインポートさせることで悪用されます。被害者がインポートしたノートを開くと、埋め込まれたJavaScriptが実行され、リモートコード実行につながる可能性があります。特にElectronデスクトップクライアントでは、JavaScriptが実行環境を持つため、攻撃者はシステム上で任意のコードを実行できる可能性があります。この脆弱性は、機密情報の窃取、マルウェアのインストール、システム制御の奪取など、広範囲な攻撃に悪用される可能性があります。

悪用の状況

この脆弱性は、2026年4月1日に公開されました。現時点では、公開されているPoCは確認されていませんが、XSS脆弱性であるため、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。Siyuanのユーザーは、最新のセキュリティ情報を常に確認し、適切な対策を講じる必要があります。

リスク対象者翻訳中…

Users of Siyuan's Electron desktop client are particularly at risk due to the potential for Remote Code Execution. Individuals who frequently import .sy documents from external sources, especially those who share notes or collaborate with others, are also at higher risk. Shared hosting environments where multiple users share the same Siyuan installation are also vulnerable.

検出手順翻訳中…

• windows / supply-chain: Monitor PowerShell execution for suspicious commands related to file manipulation and import processes. Check Autoruns for unusual entries related to Siyuan.

Get-Process -Name siyuan | Select-Object -ExpandProperty Path

• linux / server: Monitor system logs (journalctl) for errors or unusual activity related to Siyuan's import functionality.

journalctl -u siyuan -f | grep -i error

• generic web: Examine access and error logs for requests related to importing .sy.zip files. Check for unusual characters or patterns in the request parameters. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability does not directly impact databases.

攻撃タイムライン

2026-04-01Disclosure
disclosure
2026-03-29Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート1 脅威レポート

EPSS

0.07% (21% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントgithub.com/siyuan-note/siyuan/kernel

ベンダーosv

影響範囲修正版

< 3.6.2 – < 3.6.23.6.3

—0.0.0-20260329142331-918d1bd9f967

弱点分類 (CWE)

CWE-79 CWE-94

タイムライン

予約済み2026-03-30
公開日2026-04-01
更新日2026-04-06
EPSS 更新日2026-04-08

緩和策と回避策

この脆弱性への主な対策は、Siyuan Kernelをバージョン0.0.0-20260329142331-918d1bd9f967にアップデートすることです。アップデートできない場合は、.syファイルを外部からのインポートを一時的に無効化することを検討してください。また、WAF（Web Application Firewall）やプロキシサーバーを使用して、悪意のある.sy.zipファイルのインポートをブロックすることも有効です。Siyuanのセキュリティ設定を確認し、不要な機能や権限を制限することも推奨されます。

修正方法

SiYuanをバージョン3.6.2以降にアップデートしてください。このバージョンには、任意のコマンド実行を可能にするStored XSS脆弱性に対する修正が含まれています。アップデートは、アプリケーションに統合されているアップデートシステムを通じて、または公式サイトから最新バージョンをダウンロードすることで実行できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-34585 — XSS in Siyuan Kernelとは何ですか？