CVE-2026-39846 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:SiYuan 表格标题存储时未安全转义,导致 **存储型 XSS**。 💥 **后果**:攻击者可植入恶意脚本,进而可能实现 **远程代码执行 (RCE)**,严重威胁系统安全。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-79 (跨站脚本)。🛠️ **缺陷点**:表格标题内容在存储过程中缺乏 **安全转义** 处理,导致恶意代码被持久化保存。
Q3影响谁?(版本/组件)
📦 **产品**:SiYuan (思源笔记)。 ⚠️ **版本**:**3.6.4 之前** 的所有版本均受影响。请检查你的笔记软件版本! 🏢 **厂商**:siyuan-note。
Q4黑客能干啥?(权限/数据)
🕵️ **权限**:需低权限用户交互。 💾 **数据**:可窃取用户会话、Cookie 等敏感信息。 💻 **执行**:通过 XSS 链式反应,可能达成 **远程代码执行**,完全控制受影响实例。
Q5利用门槛高吗?(认证/配置)
🔑 **认证**:需要 **低权限 (PR:L)**,即需要登录或特定访问权限。 👀 **UI**:需要 **用户交互 (UI:R)**,受害者需查看包含恶意标题的表格。 🌐 **网络**:网络远程利用 (AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:当前漏洞库中 **无现成 PoC** (pocs: [])。 🔥 **在野**:暂无公开在野利用报告。 🔗 **参考**:详见 GitHub Security Advisory [GHSA-phhp-9rm9-6gr2](https://github.com/siyuan-note/siyuan/security/advisories/GHSA-phhp-9rm9-6gr2)。
Q7怎么自查?(特征/扫描)
🔎 **自查特征**:检查 SiYuan 版本是否 **< 3.6.4**。 📝 **行为监控**:留意表格标题中是否包含异常 HTML/JS 标签。 🛡️ **扫描**:使用支持 CWE-79 检测的 DAST 工具扫描笔记存储接口。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:官方已发布安全公告。 ✅ **修复**:升级至 **SiYuan 3.6.4 或更高版本** 即可修复此漏洞。 📅 **发布时间**:2026-04-07。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**: 1. **禁用** 表格标题的富文本编辑功能(若可配置)。 2. **严格审查** 用户输入的表格标题,过滤 `<script>` 等标签。 3. 在未升级前,限制对笔记内容的 **公开访问** 权限。
Q10急不急?(优先级建议)
🔥 **优先级**:**高 (Critical)**。 📊 **CVSS**:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H (分数极高)。 💡 **建议**:立即升级!虽然需要用户交互,但 **RCE 风险** 极大,切勿拖延。