Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en siyuan de siyuan-note (CVE-2026-32751)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
19/03/2026
Última modificación:
23/03/2026

Descripción

SiYuan es un sistema de gestión de conocimiento personal. En las versiones 3.6.0 e inferiores, el árbol de archivos móvil (MobileFiles.ts) renderiza los nombres de los cuadernos a través de innerHTML sin escape HTML al procesar eventos WebSocket de renamenotebook. La versión de escritorio (Files.ts) utiliza correctamente escapeHtml() para la misma operación. Un usuario autenticado que puede renombrar cuadernos puede inyectar HTML/JavaScript arbitrario que se ejecuta en cualquier cliente móvil que visualice el árbol de archivos. Dado que Electron está configurado con nodeIntegration: true y contextIsolation: false, el JavaScript inyectado tiene acceso completo a Node.js, escalando el XSS almacenado a ejecución remota de código completa. El diseño móvil también se utiliza en la aplicación de escritorio de Electron cuando la ventana es estrecha, lo que hace que esto sea explotable también en el escritorio. Este problema ha sido solucionado en la versión 3.6.1.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.10 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Passsive
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
5.10
Gravedad 4.0
MEDIA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.00 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.00
Gravedad 3.x
CRÍTICA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:b3log:siyuan:*:*:*:*:*:*:*:* 3.6.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información