CRITICALCVE-2026-39846CVSS 9

SiYuan: 同期されたテーブルのキャプション内の保存されたXSSを介したElectronデスクトップクライアントにおけるリモートコード実行

Q: CVE-2026-39846 — XSS in SiYuan Kernelとは何ですか？

CVE-2026-39846は、SiYuanカーネルにおけるクロスサイトスクリプティング（XSS）脆弱性です。悪意のあるノートの同期により、リモートコード実行を引き起こす可能性があります。

Q: CVE-2026-39846 in SiYuan Kernelに影響を受けますか？

SiYuanカーネルのバージョンが0.0.0-20260407035653-2f416e5253f1より前のバージョンを使用している場合、影響を受けます。

Q: CVE-2026-39846 in SiYuan Kernelを修正するにはどうすればよいですか？

SiYuanカーネルを0.0.0-20260407035653-2f416e5253f1にアップデートしてください。

Q: CVE-2026-39846は積極的に悪用されていますか？

現時点では公的なエクスプロイトコードは確認されていませんが、XSS脆弱性は一般的に悪用されやすいため、攻撃の可能性は否定できません。

Q: CVE-2026-39846に関するSiYuanの公式アドバイザリはどこで入手できますか？

SiYuanの公式ウェブサイトまたはGitHubリポジトリで最新のアドバイザリをご確認ください。

プラットフォーム

コンポーネント

github.com/siyuan-note/siyuan/kernel

修正版

3.6.5

0.0.0-20260407035653-2f416e5253f1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-39846は、SiYuanカーネルにおけるクロスサイトスクリプティング（XSS）脆弱性です。この脆弱性は、悪意のあるノートが別のユーザーと同期される際に、リモートコード実行を引き起こす可能性があります。影響を受けるバージョンは、0.0.0-20260407035653-2f416e5253f1より前のバージョンです。2026年4月8日に公開され、0.0.0-20260407035653-2f416e5253f1へのアップデートで修正されました。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は悪意のあるノートをSiYuanワークスペースにインポートし、他のユーザーがノートを同期すると、そのノートを開いた際にJavaScriptコードを実行できます。nodeIntegrationが有効でcontextIsolationが無効になっているため、攻撃者はNode.js APIにアクセスできます。これにより、機密情報の窃取、システム設定の変更、さらにはシステム全体の制御奪取といった深刻な被害が発生する可能性があります。この攻撃は、他のXSS脆弱性と同様に、ユーザーのフィッシング詐欺やマルウェア感染を容易にする可能性があります。

悪用の状況

この脆弱性は、2026年4月8日に公開されており、現時点では公的なエクスプロイトコードは確認されていません。しかし、XSS脆弱性は一般的に悪用されやすく、攻撃者による活発なスキャンや攻撃の可能性は否定できません。CISA KEVカタログへの登録状況は不明です。この脆弱性は、SiYuanのユーザーベース全体に影響を与える可能性があります。

リスク対象者翻訳中…

Users of SiYuan who utilize note syncing are particularly at risk. This includes teams collaborating on shared workspaces and individuals who regularly import notes from external sources. Legacy configurations with older versions of SiYuan are also highly vulnerable, as they have not received the security patch. Shared hosting environments where multiple users share the same SiYuan instance are also at increased risk.

検出手順翻訳中…

• windows / supply-chain:

Get-Process -Name SiYuan | Select-Object -ExpandProperty Path

• linux / server:

ps aux | grep siyuan

• generic web:

curl -I https://your-siyuan-instance.com/ | grep -i 'X-Content-Type-Options: nosniff'

攻撃タイムライン

2026-04-08Disclosure
disclosure
2026-04-08Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート3 件の脅威レポート

EPSS

0.14% (34% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントgithub.com/siyuan-note/siyuan/kernel

ベンダーosv

影響範囲修正版

< 3.6.4 – < 3.6.43.6.5

—0.0.0-20260407035653-2f416e5253f1

弱点分類 (CWE)

CWE-79 CWE-94

タイムライン

予約済み2026-04-07
公開日2026-04-08
EPSS 更新日2026-04-15

緩和策と回避策

この脆弱性への主な対策は、SiYuanカーネルを0.0.0-20260407035653-2f416e5253f1にアップデートすることです。アップデートが利用できない場合、ワークスペースのノート同期機能を一時的に無効にするか、信頼できないソースからのノートインポートを避けることでリスクを軽減できます。また、WAF（Web Application Firewall）やプロキシサーバーを使用して、悪意のあるスクリプトの実行をブロックすることも有効です。アップデート後、SiYuanアプリケーションを再起動し、正常に動作することを確認してください。

修正方法

リモートコード実行の脆弱性を軽減するために、バージョン3.6.4以降にアップデートしてください。このバージョンは、同期されたノートを介した悪意のあるコードのインジェクションを防止するために、テーブルのキャプションの安全でないエスケープの問題を修正しています。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-39846 — XSS in SiYuan Kernelとは何ですか？