Plataforma
nodejs
Componente
siyuan-note
Corrigido em
3.6.5
O SiYuan é um sistema de gerenciamento de conhecimento pessoal de código aberto. Uma vulnerabilidade de Cross-Site Scripting (XSS) nas versões 3.6.3 e anteriores permite que código JavaScript malicioso seja injetado através de diagramas Mermaid, devido à configuração insegura do securityLevel como "loose". Em builds desktop baseados em Electron, essa vulnerabilidade pode ser explorada para executar código arbitrário ao abrir uma nota contendo o diagrama malicioso. A correção foi implementada na versão 3.6.4.
A vulnerabilidade CVE-2026-40322 no SiYuan afeta as versões 3.6.3 e anteriores. Permite que um atacante injete código JavaScript malicioso através de diagramas Mermaid. SiYuan, um sistema de gerenciamento de conhecimento pessoal de código aberto, renderiza esses diagramas com um securityLevel configurado como 'loose'. Isso significa que as URLs javascript: dentro do código Mermaid não são filtradas corretamente e são injetadas diretamente no DOM usando innerHTML. Nas versões de desktop construídas com Electron, as janelas são criadas com nodeIntegration habilitado e contextIsolation desabilitado, o que eleva o XSS armazenado para execução de código arbitrário no sistema do usuário. Essa vulnerabilidade é particularmente preocupante em ambientes onde os usuários importam ou compartilham conteúdo de fontes não confiáveis.
Um atacante pode explorar esta vulnerabilidade inserindo código JavaScript malicioso dentro de um diagrama Mermaid em um documento SiYuan. Se um usuário abrir este documento, o código JavaScript será executado em seu contexto, permitindo potencialmente ao atacante roubar informações confidenciais, modificar arquivos ou até mesmo assumir o controle do sistema. A facilidade de injeção e a execução com privilégios elevados tornam esta vulnerabilidade um risco significativo. O ataque é mais eficaz se o atacante conseguir convencer o usuário a abrir o documento comprometido, seja por meio de engenharia social ou distribuindo arquivos maliciosos.
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A principal mitigação para CVE-2026-40322 é atualizar o SiYuan para a versão 3.6.4 ou superior. Esta versão corrige a vulnerabilidade implementando um filtro mais rigoroso das URLs javascript: no código Mermaid, impedindo sua injeção no DOM. Além disso, recomenda-se revisar e limpar qualquer conteúdo existente que possa ter sido comprometido. Para ambientes de desktop, certifique-se de que as janelas Electron tenham nodeIntegration desabilitado e contextIsolation habilitado, o que limita o acesso do código injetado aos recursos do sistema. Monitorar a atividade do sistema e aplicar as últimas atualizações de segurança são práticas recomendadas para reduzir o risco de exploração.
Actualice a la versión 3.6.4 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la forma en que se renderizan los diagramas Mermaid, evitando la inyección de código JavaScript malicioso y previniendo la ejecución de código arbitrario en el entorno Electron.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
SiYuan é um sistema de gerenciamento de conhecimento pessoal de código aberto.
A versão 3.6.4 corrige a vulnerabilidade CVE-2026-40322, impedindo a execução de código malicioso.
São configurações do Electron que controlam o acesso do código JavaScript aos recursos do sistema. Desabilitar nodeIntegration e habilitar contextIsolation aumenta a segurança.
Se você esteve usando uma versão anterior à 3.6.4 e abriu documentos de fontes não confiáveis, é possível que tenha sido afetado. Monitore a atividade do sistema em busca de comportamentos incomuns.
Atualize o SiYuan para a versão mais recente, execute uma verificação antivírus completa e considere alterar as senhas de suas contas importantes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.