CVE-2026-54069
KrytyczneCVSS 9.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 45 — wyżej niż 45% wszystkich znanych CVE
Streszczenie
SiYuan to otwartoźródłowy system zarządzania wiedzą osobistą. W wersjach przed 3.7.0, serwer HTTP jądra SiYuan Note bezwarunkowo ufa wszystkim źródłom chrome-extension://, co pozwala na dostęp do roli administratora dla każdej zainstalowanej rozszerzenia przeglądarki bez autoryzacji.
Ocena ryzyka
Ryzyko dla organizacji polega na tym, że złośliwe rozszerzenia mogą uzyskać dostęp do API administratora, co prowadzi do wycieku danych, wstrzykiwania XSS oraz manipulacji konfiguracją.
Rekomendacja
Zaleca się aktualizację do wersji 3.7.0 lub nowszej, aby usunąć tę podatność oraz ograniczyć zaufanie do źródeł rozszerzeń przeglądarki.
Oryginalny opis (angielski, źródło NVD)
SiYuan is an open-source personal knowledge management system. Prior to 3.7.0, SiYuan Note's kernel HTTP server unconditionally trusts all chrome-extension:// origins, granting RoleAdministrator access to every installed browser extension without any authentication. Combined with the default empty AccessAuthCode on desktop installs, any Chrome/Chromium extension -- including a compromised legitimate extension via supply chain attack -- can make fully authenticated admin API calls to the SiYuan kernel at 127.0.0.1:6806, enabling data exfiltration, stored XSS injection, and configuration tampering. This vulnerability is fixed in 3.7.0.

