Plataforma
go
Componente
github.com/siyuan-note/siyuan/kernel
Corrigido em
3.6.3
3.6.2
A vulnerabilidade CVE-2026-34448 é uma falha de Cross-Site Scripting (XSS) descoberta no kernel do Siyuan, uma aplicação de anotações. Essa falha permite que um atacante execute scripts maliciosos no navegador de um usuário, potencialmente comprometendo a confidencialidade e integridade dos dados. A vulnerabilidade afeta versões anteriores a 3.6.2 e pode ser explorada através da manipulação de URLs em campos específicos da aplicação. A correção oficial foi lançada na versão 3.6.2.
Um atacante pode explorar essa vulnerabilidade inserindo uma URL maliciosa em um campo 'mAsse' dentro de uma visualização de Atributo. Quando um usuário abre a Galeria ou Kanban com a opção “Cover From -> Asset Field” ativada, a aplicação renderiza a URL como uma imagem sem realizar o escaping adequado. Isso permite que o atacante injete código JavaScript arbitrário, que será executado no contexto do usuário. No cliente Electron, a execução do JavaScript ocorre com nodeIntegration habilitado e contextIsolation desabilitado, o que possibilita a execução de comandos arbitrários no sistema operacional. O impacto pode variar desde o roubo de informações sensíveis até a tomada de controle completa do sistema do usuário.
A vulnerabilidade foi divulgada em 2026-03-31. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa da probabilidade de exploração, mas a severidade CRÍTICA da vulnerabilidade exige atenção imediata. A vulnerabilidade está escrita em Go e afeta o kernel do Siyuan.
Users of Siyuan who utilize the Gallery or Kanban views with “Cover From -> Asset Field” enabled are at significant risk. This includes users who rely on Siyuan for sensitive note-taking or collaboration, as the vulnerability could lead to data theft or system compromise. Organizations using Siyuan in shared hosting environments are particularly vulnerable, as a compromised account could potentially impact other users on the same server.
• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=1000 -Message contains 'siyuan'"• linux / server:
journalctl -u siyuan | grep -i 'error' -i 'warning'• wordpress / composer / npm: N/A • database (mysql, redis, mongodb, postgresql): N/A • generic web: N/A
disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-34448 é a atualização imediata para a versão 3.6.2 do Siyuan Kernel. Se a atualização imediata não for possível, considere desativar temporariamente a opção “Cover From -> Asset Field” nas visualizações de Galeria e Kanban para reduzir a superfície de ataque. Implementar uma política de segurança de conteúdo (CSP) rigorosa pode ajudar a mitigar o impacto da XSS, restringindo as fontes de scripts que podem ser executados na aplicação. Monitore os logs do Siyuan em busca de atividades suspeitas, como tentativas de acesso a URLs não autorizadas.
Atualize SiYuan para a versão 3.6.2 ou posterior. Isso corrige a vulnerabilidade XSS armazenada que permite a execução de comandos arbitrários no cliente de desktop.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34448 is a critical stored XSS vulnerability in the Siyuan Kernel, allowing attackers to inject malicious URLs into Attribute View fields, potentially leading to OS command execution.
You are affected if you are using Siyuan Kernel versions prior to 3.6.2 and have the “Cover From -> Asset Field” feature enabled in Gallery or Kanban views.
Upgrade to Siyuan version 3.6.2 or later to remediate the vulnerability. Temporarily disabling “Cover From -> Asset Field” can reduce the attack surface.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high probability of active exploitation.
Refer to the official Siyuan release notes and security advisories on the Siyuan GitHub repository for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.