Platform
go
Component
github.com/siyuan-note/siyuan/kernel
Opgelost in
3.6.3
3.6.2
CVE-2026-34448 is een kritieke Cross-Site Scripting (XSS) kwetsbaarheid in de Siyuan Kernel, de kern van de Siyuan notitie-applicatie. Een aanvaller kan een kwaadaardige URL in een Attribute View mAsse veld plaatsen, wat resulteert in opgeslagen XSS wanneer een slachtoffer de Gallery of Kanban view opent met de optie “Cover From -> Asset Field” ingeschakeld. Deze kwetsbaarheid is verholpen in versie 3.6.2.
Deze XSS-kwetsbaarheid stelt een aanvaller in staat om willekeurige JavaScript-code uit te voeren in de context van de slachtoffergebruiker. Omdat de Electron desktop client nodeIntegration inschakelt en contextIsolation uitschakelt, kan de geïnjecteerde JavaScript leiden tot OS-commando uitvoering. Dit betekent dat een aanvaller potentieel volledige controle kan krijgen over het systeem van de slachtoffer. De kwetsbaarheid is bijzonder gevaarlijk omdat de URL kan worden ingevoegd in een Attribute View, waardoor het relatief eenvoudig is om slachtoffers te misleiden om de kwetsbare view te openen. Een succesvolle exploitatie kan leiden tot gegevensdiefstal, identiteitsdiefstal en andere schadelijke activiteiten.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar de mogelijkheid bestaat gezien de kritieke ernst en de relatieve eenvoud van de exploitatie. De kwetsbaarheid is toegevoegd aan de NVD op 2026-03-31. Er zijn geen public proof-of-concept exploits bekend op het moment van schrijven.
Users of Siyuan who utilize the Gallery or Kanban views with “Cover From -> Asset Field” enabled are at significant risk. This includes users who rely on Siyuan for sensitive note-taking or collaboration, as the vulnerability could lead to data theft or system compromise. Organizations using Siyuan in shared hosting environments are particularly vulnerable, as a compromised account could potentially impact other users on the same server.
• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=1000 -Message contains 'siyuan'"• linux / server:
journalctl -u siyuan | grep -i 'error' -i 'warning'• wordpress / composer / npm: N/A • database (mysql, redis, mongodb, postgresql): N/A • generic web: N/A
disclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar Siyuan Kernel versie 3.6.2 of hoger. Als een upgrade momenteel niet mogelijk is, kan het uitschakelen van de optie “Cover From -> Asset Field” in de Gallery en Kanban views de impact van de kwetsbaarheid verminderen. Hoewel dit geen volledige oplossing is, beperkt het de mogelijkheden van een aanvaller om de kwetsbaarheid te exploiteren. Er zijn geen bekende WAF-regels of specifieke detectie signatures beschikbaar voor deze specifieke kwetsbaarheid, maar algemene XSS-detectie regels kunnen helpen bij het identificeren van verdachte activiteit. Na de upgrade, controleer de Siyuan applicatie logs op verdachte activiteiten en onbekende scripts.
Actualice SiYuan a la versión 3.6.2 o posterior. Esto corrige la vulnerabilidad XSS almacenada que permite la ejecución de comandos arbitrarios en el cliente de escritorio.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34448 is a critical stored XSS vulnerability in the Siyuan Kernel, allowing attackers to inject malicious URLs into Attribute View fields, potentially leading to OS command execution.
You are affected if you are using Siyuan Kernel versions prior to 3.6.2 and have the “Cover From -> Asset Field” feature enabled in Gallery or Kanban views.
Upgrade to Siyuan version 3.6.2 or later to remediate the vulnerability. Temporarily disabling “Cover From -> Asset Field” can reduce the attack surface.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high probability of active exploitation.
Refer to the official Siyuan release notes and security advisories on the Siyuan GitHub repository for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.