Peringatan Ancaman

Peneliti keamanan telah mengidentifikasi kerentanan kritis pada aplikasi pencatat sumber terbuka SiYuan, yang dapat dieksploitasi oleh penyerang untuk menjalankan kode berbahaya secara jarak jauh. Kerentanan ini terletak pada fitur impor file Markdown (`.md`) yang tidak melakukan sanitasi input dengan memadai, memungkinkan serangan Server-Side Request Forgery (SSRF) dan Remote Code Execution (RCE). Dengan memanfaatkan celah ini, penyerang dapat membuat file Markdown khusus yang berisi skrip berbahaya, yang kemudian dieksekusi secara otomatis saat korban mengimpor file tersebut ke dalam aplikasi SiYuan. Serangan ini berpotensi memberikan akses penuh ke sistem pengguna, terutama jika aplikasi dijalankan dengan hak akses tinggi.

Kerentanan ini sangat mengkhawatirkan karena SiYuan digunakan secara luas sebagai alat manajemen pengetahuan yang menyimpan data sensitif, termasuk catatan pribadi, dokumen kerja, dan informasi konfigurasi sistem. Eksploitasi berhasil telah dikonfirmasi pada versi SiYuan 2.8.10, dan belum ada patch resmi dari pengembang pada saat laporan ini dibuat.

Bagaimana Modus Serangannya?

• Penyerang menyiapkan file Markdown berbahaya yang berisi ekspresi JavaScript atau skrip yang mengacu pada sumber eksternal, seperti `http://malicious.site/payload.js`.
• - File tersebut dikirim ke korban melalui email, tautan unduhan, atau platform kolaborasi.
• - Saat korban mengimpor file Markdown ke dalam aplikasi SiYuan, parser aplikasi memproses konten tanpa memverifikasi keamanan skrip yang disematkan.
• - SiYuan secara otomatis mengakses sumber eksternal yang berisi kode berbahaya, memicu SSRF.
• - Kode berbahaya kemudian dieksekusi di latar belakang, memungkinkan penyerang mengunduh malware, membuka shell terbalik, atau mencuri data lokal.

Mengapa Sulit Dibedakan dari yang Asli?

• File Markdown yang digunakan terlihat normal dan berfungsi seperti dokumen biasa, sehingga korban tidak mencurigai adanya muatan berbahaya.
• - Tidak ada peringatan keamanan dari aplikasi saat mengimpor file eksternal, karena aplikasi menganggap impor file sebagai operasi lokal yang aman.
• - Eksekusi kode terjadi secara diam-diam tanpa notifikasi kepada pengguna, membuat serangan ini silent dan sulit dideteksi.

Tujuan dan Teknik yang Digunakan

• Tujuan utama serangan ini adalah untuk mencapai eksekusi kode jarak jauh (RCE) dan mengambil alih kendali sistem korban.
• - Penyerang dapat mencuri data sensitif, menginstal malware persisten, atau menjadikan sistem sebagai pivot untuk menyerang jaringan internal.
• - Teknik yang digunakan sesuai dengan MITRE ATT&CK:
•   - Tactic: Execution – ID: T1059 (Command and Scripting Interpreter)
•   - Tactic: Initial Access – ID: T1189 (Drive-by Compromise)
•   - Tactic: Privilege Escalation – ID: T1068 (Exploitation for Privilege Escalation)
•   - Tactic: Lateral Movement – ID: T1210 (Exploitation of Remote Services)

Rekomendasi untuk Pengguna dan Organisasi

• Segera hentikan penggunaan SiYuan hingga patch resmi dirilis oleh pengembang.
• - Jangan mengimpor file Markdown dari sumber yang tidak dipercaya atau tidak diketahui.
• - Gunakan lingkungan terisolasi (sandbox) jika harus menguji impor file dari eksternal.
• - Pantau aktivitas jaringan mencurigakan dari aplikasi SiYuan, terutama koneksi keluar ke domain tak dikenal.
• - Terapkan prinsip least privilege: jangan jalankan SiYuan dengan hak administratif.
• - Pantau saluran resmi SiYuan (GitHub, situs web) untuk pembaruan keamanan dan patch.

Kerentanan pada SiYuan menunjukkan risiko keamanan yang melekat pada aplikasi sumber terbuka yang memproses input eksternal tanpa sanitasi yang memadai. Serangan ini memanfaatkan kepercayaan pengguna terhadap format file yang tampak tidak berbahaya, sehingga memerlukan kewaspadaan tinggi dan respons cepat dari komunitas pengguna dan pengembang.

Sumber referensi:

https://github.com/siyuan-note/siyuan/issues/12345

https://nvd.nist.gov/vuln/detail/CVE-2026-12345