Plataforma
go
Componente
github.com/siyuan-note/siyuan/kernel
Corrigido em
3.6.3
0.0.0-20260329142331-918d1bd9f967
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no kernel do SiYuan, um aplicativo de anotações. Essa falha permite que um atacante injete código malicioso através da importação de arquivos .sy.zip contendo atributos de bloco especialmente criados. No cliente Electron, essa injeção pode levar à execução remota de código, comprometendo a segurança do sistema.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante executar scripts maliciosos no contexto do usuário. No cliente Electron, isso significa que o atacante pode executar código arbitrário no sistema do usuário, potencialmente roubando dados confidenciais, instalando malware ou assumindo o controle do sistema. O ataque envolve a criação de um arquivo .sy.zip contendo um documento SiYuan com atributos maliciosos, que são então importados pela vítima. A injeção de código ocorre devido à falta de escaping adequado dos atributos no lado do servidor, permitindo que o código malicioso escape do seu contexto HTML original e execute um manipulador de eventos. A severidade é alta devido ao potencial de execução remota de código no cliente Electron.
A vulnerabilidade foi divulgada em 2026-04-01. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA KEV catalog) no momento da redação. A existência de um Proof of Concept (PoC) público é desconhecida. A severidade da vulnerabilidade é classificada como alta devido ao potencial de execução remota de código no cliente Electron.
Users of Siyuan's Electron desktop client are particularly at risk due to the potential for Remote Code Execution. Individuals who frequently import .sy documents from external sources, especially those who share notes or collaborate with others, are also at higher risk. Shared hosting environments where multiple users share the same Siyuan installation are also vulnerable.
• windows / supply-chain: Monitor PowerShell execution for suspicious commands related to file manipulation and import processes. Check Autoruns for unusual entries related to Siyuan.
Get-Process -Name siyuan | Select-Object -ExpandProperty Path• linux / server: Monitor system logs (journalctl) for errors or unusual activity related to Siyuan's import functionality.
journalctl -u siyuan -f | grep -i error• generic web: Examine access and error logs for requests related to importing .sy.zip files. Check for unusual characters or patterns in the request parameters.
• database (mysql, redis, mongodb, postgresql): N/A - This vulnerability does not directly impact databases.
disclosure
patch
Status do Exploit
EPSS
0.07% (percentil 21%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o SiYuan para a versão 0.0.0-20260329142331-918d1bd9f967 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere desabilitar temporariamente a funcionalidade de importação de arquivos .sy.zip até que a atualização possa ser aplicada. Monitore os logs do SiYuan em busca de atividades suspeitas, como tentativas de importação de arquivos com nomes incomuns ou tamanhos inesperados. Implementar uma política de segurança que restrinja a importação de arquivos de fontes não confiáveis também pode ajudar a reduzir o risco. Após a atualização, verifique se a importação de arquivos .sy.zip funciona corretamente e se não há novos erros ou comportamentos inesperados.
Atualize SiYuan para a versão 3.6.2 ou posterior. Esta versão contém uma correção para a vulnerabilidade XSS armazenada que permite a execução de comandos arbitrários. A atualização pode ser realizada através do sistema de atualização integrado no aplicativo ou baixando a última versão do site oficial.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34585 is a stored Cross-Site Scripting (XSS) vulnerability in Siyuan Kernel that allows attackers to inject malicious JavaScript through crafted .sy documents.
You are affected if you are using Siyuan Kernel versions prior to 0.0.0-20260329142331-918d1bd9f967, especially if you use the Electron desktop client.
Upgrade to version 0.0.0-20260329142331-918d1bd9f967 or later. Restrict import of untrusted .sy.zip files.
There is currently no evidence of active exploitation, but the potential for RCE makes it a likely target.
Refer to the official Siyuan project website and GitHub repository for the latest security advisories and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.