MEDIUMCVE-2026-34605CVSS 6.1

SanitizeSVG（getDynamicIcon、認証なし）におけるSVG名前空間プレフィックスのバイパスによる、SiYuanのリフレクト型XSS脆弱性

プラットフォーム

コンポーネント

github.com/siyuan-note/siyuan/kernel

修正版

3.6.1

0.0.0-20260330031106-f09953afc57a

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-34605は、Siyuan KernelのSVGサニタイズ処理におけるクロスサイトスクリプティング（XSS）脆弱性です。この脆弱性を悪用すると、攻撃者が悪意のあるスクリプトを注入し、ユーザーのブラウザ上で実行させることが可能です。影響を受けるのは、バージョン3.6.0以降のSiyuan Kernelです。この問題はバージョン0.0.0-20260330031106-f09953afc57aで修正されました。

影響と攻撃シナリオ

Siuan の CVE-2026-34605 は、バージョン 3.6.0 で導入された SanitizeSVG 関数に影響を与え、認証されていない /api/icon/getDynamicIcon エンドポイントの XSS の脆弱性を修正することを目的としています。この関数は、SVG 画像への悪意のあるスクリプトの挿入を防ぐように設計されていますが、<x:script xmlns:x="http://www.w3.org/2000/svg"> のような名前空間プレフィックス付きの要素名を使用することで回避できます。 Go の HTML5 パーサーは、要素タグを「x:script」として記録し、「script」として記録しないため、フィルターはタグを検出せずに通過させます。 SVG が Content-Type: image/svg+xml で、Content Security Policy (CSP) なしで提供されるため、応答を直接開くブラウザは悪意のあるスクリプトを実行でき、ユーザーのコンテキストで任意のコードを実行できます。

悪用の状況

攻撃者は、<x:script> 要素に悪意のある JavaScript コードを含む SVG を使用して、/api/icon/getDynamicIcon エンドポイントに悪意のあるリクエストを送信することで、この脆弱性を悪用できます。ユーザーのブラウザに適切な CSP がない場合、スクリプトが実行され、攻撃者が機密情報を盗んだり、ユーザーを悪意のある Web サイトにリダイレクトしたり、ユーザーの代わりに他の悪意のあるアクションを実行したりする可能性があります。エンドポイントの認証がないため、この脆弱性は特に深刻であり、誰でも悪用できます。

リスク対象者翻訳中…

Users of Siyuan Kernel who are using versions prior to 0.0.0-20260330031106-f09953afc57a are at risk. This includes individuals and organizations relying on Siyuan for note-taking and knowledge management, particularly those who customize the application with custom SVG icons or integrate it with other systems.

検出手順翻訳中…

• linux / server: Monitor Siyuan Kernel logs for unusual activity related to SVG icon loading. Use journalctl -f to observe real-time log entries. Look for patterns indicating attempts to load or process SVG files with unusual or namespace-prefixed tags.

journalctl -f | grep 'SanitizeSVG' | grep '<x:'

• generic web: Examine access logs for requests containing SVG files with namespace-prefixed tags. Use grep to search for patterns like <x:script within the request URI.

grep '<x:script' /var/log/apache2/access.log

攻撃タイムライン

2026-04-01Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.13% (32% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントgithub.com/siyuan-note/siyuan/kernel

ベンダーosv

影響範囲修正版

>= 3.6.0, < 3.6.2 – >= 3.6.0, < 3.6.23.6.1

—0.0.0-20260330031106-f09953afc57a

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-03-30
公開日2026-04-01
更新日2026-04-06
EPSS 更新日2026-04-08

緩和策と回避策

CVE-2026-34605 の修正は、Siuan のパッチバージョンに更新することです: 0.0.0-20260330031106-f09953afc57a。このバージョンは、SVG サニタイズロジックを修正し、名前空間プレフィックスに関係なく <script> 要素を正しく認識します。一時的な軽減策として、信頼できないソースからのスクリプト実行を制限する厳格な Content Security Policy (CSP) を実装することをお勧めします。また、Siuan によって動的に生成されたアイコンを潜在的な挿入に対してレビューおよび監査することも推奨されます。

修正方法翻訳中…

Actualice SiYuan a la versión 3.6.2 o posterior. Esta versión corrige la vulnerabilidad XSS reflejada en la función SanitizeSVG.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-34605 とは何ですか？（github.com/siyuan-note/siyuan/kernel の XSS）

Siuan のコード実行の脆弱性であり、攻撃者が SVG 画像を介して悪意のあるスクリプトを挿入して実行できます。

github.com/siyuan-note/siyuan/kernel の CVE-2026-34605 による影響を受けていますか？

攻撃者がこの脆弱性を悪用して情報を盗んだり、ユーザーの名義で悪意のあるアクションを実行したりした場合、ユーザーが影響を受ける可能性があります。

github.com/siyuan-note/siyuan/kernel の CVE-2026-34605 を修正するにはどうすればよいですか？

できるだけ早くパッチバージョン (0.0.0-20260330031106-f09953afc57a) に更新してください。

CVE-2026-34605 は積極的に悪用されていますか？

スクリプトの実行を制限するために、厳格な Content Security Policy (CSP) を実装してください。

CVE-2026-34605 に関する github.com/siyuan-note/siyuan/kernel の公式アドバイザリはどこで確認できますか？

脆弱性とアップグレード手順に関する Siuan の公式発表を参照してください。