HIGHCVE-2026-34585CVSS 8.6

SiYuan Desktop: 导入的 .sy.zip 内容中的存储 XSS 导致任意命令执行

Q: 什么是 CVE-2026-34585 — XSS 在 Siyuan Kernel 中?

CVE-2026-34585 是 Siyuan Kernel 中的一个跨站脚本攻击 (XSS) 漏洞，允许攻击者通过恶意构造的块属性值注入恶意 JavaScript 代码。

Q: 我是否受到 CVE-2026-34585 在 Siyuan Kernel 中影响?

如果您正在使用 Siyuan Kernel 的早期版本，则可能受到此漏洞的影响。请检查您的版本，并尽快升级至修复版本。

Q: 我如何修复 CVE-2026-34585 在 Siyuan Kernel 中?

升级到修复版本 0.0.0-20260329142331-918d1bd9f967 可以修复此漏洞。

Q: CVE-2026-34585 是否正在被积极利用?

虽然目前尚无公开的漏洞利用程序，但该漏洞已公开披露，且 CVSS 评分为高危，存在被积极利用的风险。

Q: 在哪里可以找到官方 Siyuan Kernel 关于 CVE-2026-34585 的公告?

请访问 Siyuan Kernel 的官方网站或 GitHub 仓库，查找有关 CVE-2026-34585 的安全公告。

平台

组件

github.com/siyuan-note/siyuan/kernel

修复版本

3.6.3

0.0.0-20260329142331-918d1bd9f967

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-34585 是 Siyuan Kernel 中的跨站脚本攻击 (XSS) 漏洞。该漏洞允许攻击者通过精心构造的块属性值绕过服务器端的属性转义，从而在受害者打开包含恶意属性的 .sy 文档时执行恶意 JavaScript 代码。受影响的版本包括 Siyuan Kernel 的早期版本，建议尽快升级至 0.0.0-20260329142331-918d1bd9f967 以修复此问题。

影响与攻击场景

攻击者可以利用此漏洞将恶意 IAL 值嵌入到 .sy 文档中，并将其打包为 .sy.zip 文件。当受害者通过正常的“导入 -> SiYuan .sy.zip”工作流程导入该文件时，恶意属性会突破其原始 HTML 上下文，注入事件处理程序，从而导致存储型 XSS。在 Electron 桌面客户端中，由于注入的 JavaScript 代码以较高权限运行，该 XSS 漏洞可能导致远程代码执行 (RCE)。攻击者可以利用此漏洞窃取敏感信息，例如用户凭据、笔记内容等，并可能完全控制受害者的系统。

利用背景

目前尚无公开的漏洞利用程序 (PoC)，但该漏洞已公开披露，且 CVSS 评分为高危。该漏洞被添加到 CISA KEV 目录中，表明其具有较高的利用概率。攻击者可能会利用此漏洞进行定向攻击，尤其针对使用 Siyuan Kernel 的组织和个人。

哪些人处于风险中翻译中…

Users of Siyuan's Electron desktop client are particularly at risk due to the potential for Remote Code Execution. Individuals who frequently import .sy documents from external sources, especially those who share notes or collaborate with others, are also at higher risk. Shared hosting environments where multiple users share the same Siyuan installation are also vulnerable.

检测步骤翻译中…

• windows / supply-chain: Monitor PowerShell execution for suspicious commands related to file manipulation and import processes. Check Autoruns for unusual entries related to Siyuan.

Get-Process -Name siyuan | Select-Object -ExpandProperty Path

• linux / server: Monitor system logs (journalctl) for errors or unusual activity related to Siyuan's import functionality.

journalctl -u siyuan -f | grep -i error

• generic web: Examine access and error logs for requests related to importing .sy.zip files. Check for unusual characters or patterns in the request parameters. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability does not directly impact databases.

攻击时间线

2026-04-01Disclosure
disclosure
2026-03-29Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

报告1 份威胁报告

EPSS

0.07% (21% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

受影响的软件

组件github.com/siyuan-note/siyuan/kernel

供应商osv

影响范围修复版本

< 3.6.2 – < 3.6.23.6.3

—0.0.0-20260329142331-918d1bd9f967

弱点分类 (CWE)

CWE-79 CWE-94

时间线

已保留2026-03-30
发布日期2026-04-01
修改日期2026-04-06
EPSS 更新日期2026-04-08

缓解措施和替代方案

最有效的缓解措施是立即升级到修复版本 0.0.0-20260329142331-918d1bd9f967。如果升级导致应用程序中断，可以考虑回滚到之前的稳定版本，但请注意这只是临时解决方案。此外，可以尝试配置 Web 应用程序防火墙 (WAF) 或代理服务器，以过滤包含恶意 IAL 值的 .sy 文件。由于该漏洞涉及文件导入，因此限制用户导入不受信任来源的 .sy 文件可以降低风险。升级后，请验证新版本是否已成功安装，并检查应用程序日志中是否存在任何异常。

修复方法

将 SiYuan 更新到 3.6.2 或更高版本。此版本包含针对存储的 XSS 漏洞的修复，该漏洞允许执行任意命令。可以通过应用程序中的内置更新系统或从官方网站下载最新版本来执行更新。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-34585 — XSS 在 Siyuan Kernel 中?