Platform
nodejs
Component
siyuan-note
Opgelost in
3.6.5
CVE-2026-40322 beschrijft een kritieke Cross-Site Scripting (XSS) kwetsbaarheid in SiYuan, een open-source personal knowledge management systeem. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om schadelijke JavaScript-code uit te voeren, met name in desktop builds die Electron gebruiken. De kwetsbaarheid treedt op in versies 3.6.0 tot en met 3.6.4 en is verholpen in versie 3.6.4.
Een succesvolle exploitatie van CVE-2026-40322 kan leiden tot de volledige overname van een SiYuan-desktop applicatie. Aangezien de kwetsbaarheid via Mermaid diagrammen wordt uitgebuit, kan een aanvaller een kwaadaardige SVG-code in een notitie plaatsen. Wanneer een gebruiker deze notitie opent en op het gerenderde diagram klikt, wordt de schadelijke code uitgevoerd. In desktop builds met Electron, waarbij nodeIntegration is ingeschakeld en contextIsolation is uitgeschakeld, kan dit leiden tot willekeurige code-uitvoering met de privileges van de gebruiker. Dit kan resulteren in data-exfiltratie, installatie van malware of andere schadelijke acties.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-04-16. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de complexiteit van de exploitatie maakt het een potentieel doelwit voor geavanceerde aanvallers. De combinatie van XSS en de mogelijkheid tot code-uitvoering in een desktop applicatie maakt dit een hoog risico. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (status onbekend).
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-40322 is het upgraden naar SiYuan versie 3.6.4 of hoger. Indien een upgrade momenteel niet mogelijk is, kan het beperken van de bronnen waaruit Mermaid diagrammen kunnen worden ingevoerd een tijdelijke maatregel zijn. Controleer notities op verdachte SVG-code en vermijd het openen van notities van onbetrouwbare bronnen. Er zijn geen specifieke WAF-regels of detectie signatures beschikbaar, maar het monitoren van de applicatie op ongebruikelijke processen of netwerkactiviteit is aan te raden.
Actualice a la versión 3.6.4 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la forma en que se renderizan los diagramas Mermaid, evitando la inyección de código JavaScript malicioso y previniendo la ejecución de código arbitrario en el entorno Electron.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SiYuan is an open-source personal knowledge management system.
Version 3.6.4 fixes the CVE-2026-40322 vulnerability, preventing the execution of malicious code.
They are Electron configurations that control the access of JavaScript code to system resources. Disabling nodeIntegration and enabling contextIsolation increases security.
If you have been using a version prior to 3.6.4 and have opened documents from untrusted sources, you may have been affected. Monitor system activity for unusual behavior.
Update SiYuan to the latest version, run a full antivirus scan, and consider changing the passwords for your important accounts.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.