Plataforma
go
Componente
github.com/siyuan-note/siyuan/kernel
Corrigido em
3.6.5
0.0.0-20260407035653-2f416e5253f1
A vulnerabilidade CVE-2026-39846 é uma falha de Cross-Site Scripting (XSS) crítica encontrada no kernel do SiYuan, um aplicativo de anotações. Essa falha permite que um atacante execute código remotamente ao inserir uma nota maliciosa em um espaço de trabalho sincronizado. A vulnerabilidade afeta versões anteriores a 0.0.0-20260407035653-2f416e5253f1, e a correção foi lançada em 7 de abril de 2026.
Um atacante pode explorar essa vulnerabilidade importando uma nota especialmente criada para um espaço de trabalho sincronizado do SiYuan. Quando outro usuário sincroniza e abre essa nota, o código malicioso contido na legenda da tabela é executado no contexto do usuário, devido à falta de escaping adequado e à configuração nodeIntegration habilitada no Electron desktop client. Isso permite a execução de código arbitrário com acesso às APIs do Node.js, possibilitando a roubo de informações sensíveis, a modificação de dados e até mesmo o controle total do sistema do usuário. A severidade crítica da vulnerabilidade reside na facilidade de exploração e no alto impacto potencial.
A vulnerabilidade foi divulgada em 8 de abril de 2026. Não há informações disponíveis sobre a inclusão em KEV ou a existência de um EPSS score. Atualmente, não há um Proof of Concept (PoC) público amplamente divulgado, mas a facilidade de exploração sugere que a probabilidade de exploração ativa é média. A descrição da vulnerabilidade indica um padrão de exploração similar a outros ataques XSS em aplicações que utilizam renderização de HTML sem escaping adequado.
Users of SiYuan who utilize note syncing are particularly at risk. This includes teams collaborating on shared workspaces and individuals who regularly import notes from external sources. Legacy configurations with older versions of SiYuan are also highly vulnerable, as they have not received the security patch. Shared hosting environments where multiple users share the same SiYuan instance are also at increased risk.
• windows / supply-chain:
Get-Process -Name SiYuan | Select-Object -ExpandProperty Path• linux / server:
ps aux | grep siyuan• generic web:
curl -I https://your-siyuan-instance.com/ | grep -i 'X-Content-Type-Options: nosniff'disclosure
patch
Status do Exploit
EPSS
0.14% (percentil 34%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o SiYuan Kernel para a versão 0.0.0-20260407035653-2f416e5253f1 ou superior. Enquanto a atualização não é possível, considere desabilitar a sincronização de notas de fontes não confiáveis. Implementar uma camada de Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns pode oferecer uma proteção adicional, embora não seja uma solução completa. Monitore os logs do SiYuan em busca de atividades suspeitas, como tentativas de executar código JavaScript não autorizado. Após a atualização, verifique se a legenda das tabelas está sendo renderizada corretamente e se não há scripts sendo executados inesperadamente.
Atualize para a versão 3.6.4 ou posterior para mitigar a vulnerabilidade de execução remota de código. Esta versão corrige o problema de escape inseguro nas legendas das tabelas, evitando a injeção de código malicioso através de notas sincronizadas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-39846 is a critical XSS vulnerability in the SiYuan Kernel, allowing malicious notes to trigger remote code execution through unescaped table captions.
You are affected if you are using SiYuan Kernel versions prior to 0.0.0-20260407035653-2f416e5253f1, especially if you utilize note syncing.
Upgrade to version 0.0.0-20260407035653-2f416e5253f1 or later. Temporarily disable note syncing if immediate upgrade is not possible.
While no active exploitation has been confirmed, the critical severity and potential for easy exploitation suggest a high likelihood of future exploitation.
Refer to the official SiYuan security advisory for detailed information and updates: [https://github.com/siyuan-note/siyuan/security/advisories/GHSA-xxxx-xxxx-xxxx]
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.