CRITICAL🇬🇧 English

CVE-2026-34449

RCE w SiYuan poprzez nadmiernie permisywną politykę CORS

CVSS 9.6v3.1pub. 2026-03-31upd. 2026-04-03

B3Log SiYuan przed wersją 3.6.2 posiada krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE) na komputerze ofiary. Złośliwa strona internetowa może wykorzystać permisywną politykę CORS aplikacji do wstrzyknięcia kodu JavaScript wykonywanego z pełnym dostępem do systemu operacyjnego.

Pokaż oryginał (EN)

SiYuan is a personal knowledge management system. Prior to version 3.6.2, a malicious website can achieve Remote Code Execution (RCE) on any desktop running SiYuan by exploiting the permissive CORS policy (Access-Control-Allow-Origin: * + Access-Control-Allow-Private-Network: true) to inject a JavaScript snippet via the API. The injected snippet executes in Electron's Node.js context with full OS access the next time the user opens SiYuan's UI. No user interaction is required beyond visiting the malicious website while SiYuan is running. This issue has been patched in version 3.6.2.

🤖 Analiza AI
Jak działa

SiYuan eksponuje lokalne API z nagłówkami CORS ustawionymi na 'Access-Control-Allow-Origin: *' oraz 'Access-Control-Allow-Private-Network: true', co pozwala dowolnej stronie internetowej na wysyłanie żądań do tego API. Złośliwa witryna może przez API wstrzyknąć fragment kodu JavaScript, który zostaje zapisany i wykonany w kontekście Node.js silnika Electron przy kolejnym otwarciu interfejsu użytkownika SiYuan. Proces ten nie wymaga od ofiary żadnej dodatkowej interakcji poza odwiedzeniem złośliwej strony w czasie, gdy aplikacja SiYuan jest uruchomiona w tle.

Skutki

Atakujący uzyskuje pełny dostęp do systemu operacyjnego ofiary z uprawnieniami procesu SiYuan, co umożliwia wykonanie dowolnych poleceń, kradzież danych, instalację złośliwego oprogramowania lub dalszy lateral movement w sieci.

Mitygacja

Należy zaktualizować SiYuan do wersji 3.6.2 lub nowszej, w której podatność została załatana. Patch dostępny jest w oficjalnym repozytorium projektu: https://github.com/siyuan-note/siyuan/releases/tag/v3.6.2

Kogo dotyczy

B3Log SiYuan we wszystkich wersjach przed 3.6.2 w wariancie desktopowym (opartym na Electron)

Uwagi

Podatność sklasyfikowana jako CWE-942 (nadmiernie permisywna polityka cross-domain). Szczegóły techniczne opublikowano w ramach GitHub Security Advisory GHSA-68p4-j234-43mv.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • B3log Siyuan

    APP
    B3Log
    < 3.6.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-40322CRITICAL9.0PL ✓ten sam produkt

B3Log SiYuan: XSS w diagramach Mermaid eskaluje do RCE w Electron

CVE-2026-39846CRITICAL9.0PL ✓ten sam produkt

RCE przez stored XSS w kliencie desktopowym B3Log SiYuan

CVE-2026-34448CRITICAL9.0PL ✓ten sam produkt

Stored XSS → RCE w B3Log SiYuan via złośliwy URL w Attribute View

CVE-2026-33670CRITICAL9.8PL ✓ten sam produkt

Path Traversal w B3Log SiYuan — nieautoryzowane odczytywanie struktury plików

CVE-2026-33669CRITICAL9.8PL ✓ten sam produkt

B3Log SiYuan — nieuprawniony odczyt treści dokumentów przez API