CVE-2026-40322 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Mermaid图表渲染时，SVG通过`innerHTML`注入DOM，且安全级别宽松。<br>💥 **后果**：攻击者可注入`javascript:` URL，在桌面Electron版中可将**存储型XSS**升级为**任意代码执行**。

🔍 **CWE**：CWE-79 (跨站脚本)。<br>🔧 **缺陷点**：Mermaid渲染配置过于宽松 + 使用`innerHTML`直接注入未充分 sanitization 的SVG内容。

🎯 **产品**：SiYuan (思源笔记)。<br>📦 **版本**：**3.6.3 及之前版本**。<br>💻 **环境**：主要影响 **桌面 Electron 构建**版本。

🕵️ **权限**：需本地用户权限（PR:L）。<br>📂 **数据**：可执行任意代码，完全控制桌面应用，窃取本地数据或执行系统命令。

🚪 **门槛**：中等。<br>🔑 **条件**：需要**低权限**（PR:L）且需要**用户交互**（UI:R，如点击或查看渲染内容）。

📜 **Exp**：当前数据中 **无现成 PoC** (pocs为空)。<br>🌍 **在野**：暂无在野利用报告。

🔎 **自查**：检查是否使用 SiYuan 3.6.3 及以下版本。<br>🧪 **测试**：在笔记中插入包含恶意`javascript:`协议的Mermaid代码块，观察是否执行脚本（仅限测试环境）。

🛡️ **补丁**：**已修复**。<br>📥 **版本**：升级至 **v3.6.4** 或更高版本。<br>🔗 **参考**：GitHub Security Advisory GHSA-x63q-3rcj-hhp5。

⚠️ **规避**：若无法升级，**禁用** Mermaid 图表渲染功能。<br>🚫 **限制**：避免在笔记中嵌入不可信的 Mermaid 代码块。

🔥 **优先级**：**高**。<br>📉 **CVSS**：8.8 (高)。<br>💡 **建议**：桌面端用户应**立即升级**至 v3.6.4，防止任意代码执行风险。