SiYuan: Opgeslagen XSS in Attribute View Gallery/Kanban Cover Rendering maakt willekeurige commando-uitvoering mogelijk in de desktopclient
Platform
go
Component
github.com/siyuan-note/siyuan/kernel
Opgelost in
3.6.3
3.6.2
CVE-2026-34448 is een kritieke Cross-Site Scripting (XSS) kwetsbaarheid in de Siyuan Kernel, de kern van de Siyuan notitie-applicatie. Een aanvaller kan een kwaadaardige URL in een Attribute View mAsse veld plaatsen, wat resulteert in opgeslagen XSS wanneer een slachtoffer de Gallery of Kanban view opent met de optie “Cover From -> Asset Field” ingeschakeld. Deze kwetsbaarheid is verholpen in versie 3.6.2.
Detecteer deze CVE in je project
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.
Impact en Aanvalsscenarios
Deze XSS-kwetsbaarheid stelt een aanvaller in staat om willekeurige JavaScript-code uit te voeren in de context van de slachtoffergebruiker. Omdat de Electron desktop client nodeIntegration inschakelt en contextIsolation uitschakelt, kan de geïnjecteerde JavaScript leiden tot OS-commando uitvoering. Dit betekent dat een aanvaller potentieel volledige controle kan krijgen over het systeem van de slachtoffer. De kwetsbaarheid is bijzonder gevaarlijk omdat de URL kan worden ingevoegd in een Attribute View, waardoor het relatief eenvoudig is om slachtoffers te misleiden om de kwetsbare view te openen. Een succesvolle exploitatie kan leiden tot gegevensdiefstal, identiteitsdiefstal en andere schadelijke activiteiten.
Uitbuitingscontext
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar de mogelijkheid bestaat gezien de kritieke ernst en de relatieve eenvoud van de exploitatie. De kwetsbaarheid is toegevoegd aan de NVD op 2026-03-31. Er zijn geen public proof-of-concept exploits bekend op het moment van schrijven.
Wie Loopt Risicowordt vertaald…
Users of Siyuan who utilize the Gallery or Kanban views with “Cover From -> Asset Field” enabled are at significant risk. This includes users who rely on Siyuan for sensitive note-taking or collaboration, as the vulnerability could lead to data theft or system compromise. Organizations using Siyuan in shared hosting environments are particularly vulnerable, as a compromised account could potentially impact other users on the same server.
Detectiestappenwordt vertaald…
• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=1000 -Message contains 'siyuan'"• linux / server:
journalctl -u siyuan | grep -i 'error' -i 'warning'• wordpress / composer / npm: N/A • database (mysql, redis, mongodb, postgresql): N/A • generic web: N/A
Aanvalstijdlijn
- Disclosure
disclosure
Dreigingsinformatie
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Laag — elk geldig gebruikersaccount is voldoende.
- User Interaction
- Vereist — slachtoffer moet een bestand openen, op een link klikken of een pagina bezoeken.
- Scope
- Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
- Confidentiality
- Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
- Integrity
- Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
- Availability
- Hoog — volledige crash of uitputting van resources. Totale denial of service.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De primaire mitigatie is het upgraden naar Siyuan Kernel versie 3.6.2 of hoger. Als een upgrade momenteel niet mogelijk is, kan het uitschakelen van de optie “Cover From -> Asset Field” in de Gallery en Kanban views de impact van de kwetsbaarheid verminderen. Hoewel dit geen volledige oplossing is, beperkt het de mogelijkheden van een aanvaller om de kwetsbaarheid te exploiteren. Er zijn geen bekende WAF-regels of specifieke detectie signatures beschikbaar voor deze specifieke kwetsbaarheid, maar algemene XSS-detectie regels kunnen helpen bij het identificeren van verdachte activiteit. Na de upgrade, controleer de Siyuan applicatie logs op verdachte activiteiten en onbekende scripts.
Hoe te verhelpenwordt vertaald…
Actualice SiYuan a la versión 3.6.2 o posterior. Esto corrige la vulnerabilidad XSS almacenada que permite la ejecución de comandos arbitrarios en el cliente de escritorio.
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragenwordt vertaald…
What is CVE-2026-34448 — XSS in Siyuan Kernel?
CVE-2026-34448 is a critical stored XSS vulnerability in the Siyuan Kernel, allowing attackers to inject malicious URLs into Attribute View fields, potentially leading to OS command execution.
Am I affected by CVE-2026-34448 in Siyuan Kernel?
You are affected if you are using Siyuan Kernel versions prior to 3.6.2 and have the “Cover From -> Asset Field” feature enabled in Gallery or Kanban views.
How do I fix CVE-2026-34448 in Siyuan Kernel?
Upgrade to Siyuan version 3.6.2 or later to remediate the vulnerability. Temporarily disabling “Cover From -> Asset Field” can reduce the attack surface.
Is CVE-2026-34448 being actively exploited?
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high probability of active exploitation.
Where can I find the official Siyuan advisory for CVE-2026-34448?
Refer to the official Siyuan release notes and security advisories on the Siyuan GitHub repository for the latest information.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.