Plataforma
go
Componente
github.com/siyuan-note/siyuan/kernel
Corrigido em
3.6.5
0.0.0-20260407035653-2f416e5253f1
A vulnerabilidade CVE-2026-40107 é uma falha de SSRF (Server-Side Request Forgery) descoberta no kernel do SiYuan, um aplicativo de anotações. Essa falha permite que um atacante explore a configuração inadequada do Mermaid.js, injetando diagramas maliciosos que podem levar a requisições não autorizadas para recursos internos. Versões do SiYuan anteriores a 0.0.0-20260407035653-2f416e5253f1 são afetadas. A atualização para a versão corrigida é a solução recomendada.
Um atacante pode explorar essa vulnerabilidade inserindo um diagrama Mermaid malicioso em uma nota do SiYuan. Devido à configuração permissiva do Mermaid.js (securityLevel: "loose" e htmlLabels: true), tags <img> com atributos src maliciosos não são devidamente sanitizadas e são injetadas em blocos SVG <foreignObject>. Quando um usuário abre essa nota, o cliente Electron tenta buscar a URL especificada no atributo src. No Windows, o uso de URLs relativas a protocolo (ex: //attacker.com/image.png) pode ser resolvido como um caminho UNC (\\attacker.com\image.png), resultando em uma tentativa automática de autenticação SMB, expondo o hash NTLMv2 da vítima ao atacante. Isso pode permitir a exfiltração de credenciais e o acesso não autorizado a recursos na rede interna.
A vulnerabilidade foi divulgada em 2026-04-10. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) até o momento. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração. A severidade é classificada como alta devido ao potencial de exfiltração de credenciais e movimento lateral.
Users of SiYuan who rely on Mermaid diagrams for note-taking and visualization are at risk. Environments with shared hosting or legacy Windows systems with weak SMB configurations are particularly vulnerable, as the automatic NTLMv2 hash transmission poses a significant threat.
• windows / supply-chain: Monitor PowerShell execution for suspicious URLs or SMB connections initiated by the SiYuan process. Use Windows Defender to search for alerts related to network connections to unusual domains or UNC paths.
Get-Process -Name SiYuan | Select-Object -ExpandProperty CommandLine | Select-String -Pattern '\\attacker.com'• linux / server: Examine SiYuan's process logs for any unexpected outbound network connections. Use journalctl to filter for errors or warnings related to Mermaid.js or URL fetching.
journalctl -u siyuan -g 'error' -g 'warning'• generic web: Monitor access logs for requests originating from the SiYuan client to unusual or attacker-controlled domains. Check response headers for unexpected content or redirects. Use curl to test for endpoint exposure.
curl -I https://attacker.com/image.pngdisclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
A mitigação primária para CVE-2026-40107 é atualizar o SiYuan para a versão 0.0.0-20260407035653-2f416e5253f1 ou superior. Se a atualização imediata não for possível, considere restringir o acesso à rede do cliente Electron do SiYuan, limitando sua capacidade de fazer requisições para recursos externos. Implementar regras de firewall que bloqueiem conexões SMB não autorizadas pode ajudar a mitigar o risco de exfiltração de credenciais. Monitore os logs do sistema em busca de tentativas de conexão SMB suspeitas originadas do SiYuan.
Atualize a biblioteca Mermaid.js para a versão 3.6.4 ou superior para mitigar a vulnerabilidade. Certifique-se de configurar `securityLevel: 'strict'` e desabilitar `htmlLabels: true` para evitar a injeção de código malicioso através de diagramas Mermaid.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-40107 is a Server-Side Request Forgery (SSRF) vulnerability in SiYuan Kernel, allowing attackers to trigger arbitrary URL fetches via malicious Mermaid diagrams.
You are affected if you are using a version of SiYuan Kernel prior to 0.0.0-20260407035653-2f416e5253f1 and utilize Mermaid diagrams.
Upgrade SiYuan Kernel to version 0.0.0-20260407035653-2f416e5253f1 or later. Consider temporarily disabling Mermaid diagrams as a workaround.
There is currently no indication of active exploitation campaigns targeting CVE-2026-40107, but public proof-of-concept code is likely.
Refer to the SiYuan project's official release notes and security advisories for the most up-to-date information: [https://github.com/siyuan-note/siyuan/releases](https://github.com/siyuan-note/siyuan/releases)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.