MEDIUMCVE-2026-40922

SiYuan: bazaar README の不完全なサニタイズは、iframe srcdoc 経由で保存された XSS を許可する (CVE-2026-33066 の不完全な修正)

プラットフォーム

コンポーネント

siyuan-note

修正版

3.6.5

0.0.0-20260414013942-62eed37a3263

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

SiYuan は、オープンソースの個人知識管理システムです。この脆弱性は、bazaar パッケージの README への iframe 埋め込みを介した XSS 攻撃を可能にします。影響を受けるバージョンは 3.6.1 から 3.6.3 です。バージョン 3.6.4 で修正されました。

影響と攻撃シナリオ

SiYuan の CVE-2026-40922 は、特に Bazaar README のレンダリングにおいて、保存型のクロスサイトスクリプティング (XSS) 脆弱性を引き起こします。不完全な修正により、Lute HTML サニタイザーが有効になりましたが、<iframe> タグと srcdoc 属性のブロックは行われませんでした。これにより、攻撃者は <iframe> タグの srcdoc 属性内に悪意のある JavaScript コードを挿入できるようになります。このコードは SiYuan Electron アプリケーションのコンテキストで実行され、機密情報の窃取、UI の操作、さらにはアプリケーション全体の制御につながる可能性があります。この脆弱性の重大性は、SiYuan 内のユーザーのセキュリティとデータの整合性を損なう可能性があることにあります。

悪用の状況

攻撃者は、Bazaar リポジトリに悪意のある README ファイルを挿入することで、この脆弱性を悪用できます。ユーザーがこのリポジトリを SiYuan にインポートすると、README ファイルがレンダリングされ、<iframe> タグの srcdoc 属性に含まれる悪意のある JavaScript コードが実行されます。スクリプトの実行は Electron アプリケーションのコンテキストで行われ、攻撃者に SiYuan の機能とデータへのアクセス権を与えます。悪用する複雑さは比較的低く、悪意のある README ファイルを作成し、ユーザーにインポートさせる必要があるだけです。

リスク対象者翻訳中…

Users of SiYuan who rely on bazaar packages for extensions or themes are at particular risk. This includes users who frequently install packages from untrusted sources or those who share their SiYuan data with others. Legacy configurations or deployments with outdated security practices are also more vulnerable.

検出手順翻訳中…

• linux / server: Monitor SiYuan's log files for unusual activity related to bazaar package rendering. Look for patterns indicative of HTML injection attempts.

 grep -i "<iframe>" /path/to/siyuan/logs/readme.log

• generic web: Inspect network traffic for requests to SiYuan's bazaar endpoints with suspicious parameters or payloads.

 curl -v <siyuan_url>/api/bazaar/packages | grep <iframe>

攻撃タイムライン

2026-04-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.03% (10% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントsiyuan-note

ベンダーsiyuan-note

影響範囲修正版

< 3.6.4 – < 3.6.43.6.5

—0.0.0-20260414013942-62eed37a3263

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-04-15
公開日2026-04-16
更新日2026-04-20
EPSS 更新日2026-04-24

緩和策と回避策

CVE-2026-40922 の主な軽減策は、SiYuan をバージョン 3.6.4 以降に更新することです。このバージョンには、<iframe> タグとその srcdoc 属性をブロックし、悪意のあるスクリプトの実行を防ぐ完全な修正が含まれています。更新を待っている間は、信頼できないソースからの Bazaar README ファイルのインポートを避けてください。さらに、以前にインポートされた README ファイルで悪意のあるコードが含まれていないか確認してクリーンアップしてください。SiYuan アプリケーション内での異常なアクティビティの監視も、潜在的な攻撃の検出に役立ちます。

修正方法翻訳中…

Actualice a la versión 3.6.4 o posterior para mitigar la vulnerabilidad. Esta versión corrige la sanitización incompleta de las etiquetas iframe en el README de los paquetes de bazaar, previniendo la ejecución de código malicioso en el contexto de la aplicación.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-40922 とは何ですか？（SiYuan の XSS）

SiYuan は、知識管理機能を備えたオープンソースのメモ取りアプリケーションです。

SiYuan の CVE-2026-40922 による影響を受けていますか？

このアップデートは、デバイス上で悪意のあるコードを実行できる攻撃者を可能にするセキュリティ脆弱性を修正しています。

SiYuan の CVE-2026-40922 を修正するにはどうすればよいですか？

SiYuan のバージョンが 3.6.4 より前の場合は、影響を受けている可能性が高いです。

CVE-2026-40922 は積極的に悪用されていますか？

すぐに SiYuan を最新バージョンに更新し、システムを侵害の兆候がないかスキャンしてください。

CVE-2026-40922 に関する SiYuan の公式アドバイザリはどこで確認できますか？

最新バージョンにアップデートできるまで、信頼できないソースからの Bazaar README ファイルのインポートを避けてください。