平台
go
组件
github.com/siyuan-note/siyuan/kernel
修复版本
3.6.3
3.6.2
CVE-2026-34448 是 Siyuan Note 内核中的一个存储型跨站脚本 (XSS) 漏洞。攻击者可以通过在 Attribute View mAsse 字段中注入恶意 URL,当受害者启用“封面来自 -> 资产字段”并打开图库或看板视图时触发该漏洞。该漏洞影响 Siyuan Note 的早期版本,建议升级至 3.6.2 版本以解决此安全问题。
该 XSS 漏洞允许攻击者在受害者的 Siyuan Note 客户端中执行任意 JavaScript 代码。由于 Electron 桌面客户端启用了 nodeIntegration 且禁用了 contextIsolation,攻击者可以利用此漏洞执行操作系统命令,从而完全控制受害者的系统。攻击者可以窃取敏感数据,安装恶意软件,或进行其他恶意活动。该漏洞的严重程度极高,可能导致严重的系统安全事件。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞的 CVSS 评分为 9 (CRITICAL),表明其潜在影响非常严重。请密切关注 CISA 和 Siyuan Note 官方的安全公告。
Users of Siyuan who utilize the Gallery or Kanban views with “Cover From -> Asset Field” enabled are at significant risk. This includes users who rely on Siyuan for sensitive note-taking or collaboration, as the vulnerability could lead to data theft or system compromise. Organizations using Siyuan in shared hosting environments are particularly vulnerable, as a compromised account could potentially impact other users on the same server.
• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=1000 -Message contains 'siyuan'"• linux / server:
journalctl -u siyuan | grep -i 'error' -i 'warning'• wordpress / composer / npm: N/A • database (mysql, redis, mongodb, postgresql): N/A • generic web: N/A
disclosure
漏洞利用状态
EPSS
0.05% (15% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到 Siyuan Note 3.6.2 或更高版本。如果无法立即升级,可以尝试禁用“封面来自 -> 资产字段”功能,但这会影响 Siyuan Note 的正常使用。此外,建议对 Siyuan Note 的安装目录进行安全审计,检查是否存在可疑文件或脚本。监控 Siyuan Note 的日志文件,查找异常活动。
升级 SiYuan 到 3.6.2 或更高版本。 这修复了允许在桌面客户端中执行任意命令的存储型 XSS 漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-34448 是 Siyuan Note 内核中的一个存储型 XSS 漏洞,允许攻击者通过在 Attribute View 字段中注入恶意 URL 执行 JavaScript 代码。
如果您使用的是 Siyuan Note 的早期版本,特别是启用了“封面来自 -> 资产字段”功能,则可能受到此漏洞的影响。
建议立即升级到 Siyuan Note 3.6.2 或更高版本以修复此漏洞。
目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问 Siyuan Note 的官方网站或 GitHub 仓库,查找有关 CVE-2026-34448 的安全公告。
CVSS 向量
上传你的 go.mod 文件,立即知道是否受影响。