概要
ノートアプリ SiYuan(バージョン v3.6.1 未満)のパッケージマーケットプレイス「Bazaar」において、パッケージのメタデータや README コンテンツが適切にサニタイズされていない脆弱性です。悪意のあるパッケージ作者が displayName、description、または README フィールドに JavaScript を埋め込むことで、Bazaar を閲覧したユーザーに対してスクリプトが実行されます。
SiYuan は Electron 上で動作しており、nodeIntegration が有効な設定では XSS ペイロードから OS コマンドの実行まで発展します。関連する CVE-2026-56397 も同一のコードパスに対するアドバイザリです。
CVSSベクトル
| 項目 | 値 |
|---|---|
| スコア | 9.6 (CRITICAL) |
| Attack Vector | Network |
| Attack Complexity | Low |
| Privileges Required | None |
| User Interaction | Required |
| Scope | Changed |
| Confidentiality | High |
| Integrity | High |
| Availability | High |
影響を受けるソフトウェア
| 製品 | ベンダー | バージョン |
|---|---|---|
| SiYuan | siyuan-note | < v3.6.1 |
修正バージョンと回避策
- 修正バージョン: SiYuan v3.6.1 以降
- 回避策: Bazaar マーケットプレイスの利用を停止する。信頼できるパッケージ以外をインストールしない
関連リンク
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。