平台
nodejs
组件
siyuan-note
修复版本
3.6.5
CVE-2026-40322 是一个高危跨站脚本 (XSS) 漏洞,影响到 SiYuan 知识管理系统的 3.6.0 到 3.6.4 版本。该漏洞源于 Mermaid 图表渲染时的安全级别配置不当,允许攻击者通过恶意 Mermaid 代码注入执行 JavaScript 代码。在 Electron 桌面构建中,该漏洞可能被利用为远程代码执行 (RCE),对用户数据和系统安全构成严重威胁。目前,SiYuan 团队已发布了 3.6.4 版本以修复此漏洞。
该漏洞的影响非常严重。攻击者可以通过在 SiYuan 笔记中嵌入包含恶意 JavaScript 代码的 Mermaid 图表,诱使用户打开该笔记并点击渲染后的图表节点。由于 Electron 桌面构建中窗口的 nodeIntegration 和 contextIsolation 设置不当,恶意 JavaScript 代码得以执行,攻击者可以窃取用户敏感信息,例如密码、笔记内容等。更严重的是,攻击者可能利用该漏洞提升权限,控制整个系统,甚至进行横向移动攻击,影响到网络中的其他设备。类似于其他 XSS 漏洞,该漏洞也可能被用于钓鱼攻击,诱骗用户泄露个人信息。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会出现更多利用尝试。该漏洞尚未被添加到 CISA KEV 目录,但其 CVSS 评分为 CRITICAL,表明其潜在风险很高。建议密切关注安全社区的动态,并及时采取必要的安全措施。
漏洞利用状态
EPSS
0.05% (15% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到 SiYuan 3.6.4 或更高版本。如果无法立即升级,可以尝试以下临时缓解措施:首先,禁用 Mermaid 图表渲染功能,或者限制允许的 Mermaid 代码类型。其次,审查所有现有的笔记,删除任何可疑的 Mermaid 图表。如果使用代理服务器或 Web 应用防火墙 (WAF),可以配置规则来阻止包含恶意 JavaScript 代码的 Mermaid 图表。此外,定期扫描系统,查找潜在的恶意文件或进程,并确保所有安全补丁都已应用。
Actualice a la versión 3.6.4 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la forma en que se renderizan los diagramas Mermaid, evitando la inyección de código JavaScript malicioso y previniendo la ejecución de código arbitrario en el entorno Electron.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-40322 是 SiYuan 知识管理系统 3.6.0 到 3.6.4 版本中发现的一个高危漏洞,由于 Mermaid 图表渲染安全级别配置不当,攻击者可以利用恶意代码执行跨站脚本攻击,甚至实现远程代码执行。
如果您正在使用 SiYuan 知识管理系统的 3.6.0 到 3.6.4 版本,则可能受到此漏洞的影响。请立即检查您的版本并升级。
最有效的修复方法是立即升级到 SiYuan 3.6.4 或更高版本。如果无法升级,请参考缓解措施,例如禁用 Mermaid 图表渲染功能。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会出现更多利用尝试。
请访问 SiYuan 官方网站或 GitHub 仓库,查找关于 CVE-2026-40322 的安全公告和更新信息。
CVSS 向量