Plattform
go
Komponente
github.com/siyuan-note/siyuan/kernel
Behoben in
3.6.3
0.0.1
CVE-2026-33669 describes an unauthorized document access vulnerability in SiYuan Note. By exploiting the /api/file/readDir and /api/block/getChildBlocks interfaces, attackers can retrieve document IDs and view the content of all documents without proper authorization. This issue affects SiYuan Note versions up to and including 0.0.0-20260317012524-fe4523fff2c8. The vulnerability is fixed in version 3.6.2.
Die CVE-2026-33669-Schwachstelle in SiYuan ermöglicht einem Angreifer mit Leserechten auf Dokumente, den Inhalt aller Dokumente innerhalb des Systems auszulesen. Dies wird erreicht, indem ausgenutzt wird, wie die /api/file/readDir-API Dokument-IDs abruft und anschließend die /api/block/getChildBlocks-API verwendet wird, um auf den Inhalt dieser Dokumente zuzugreifen. Das Fehlen einer ordnungsgemäßen Validierung in der /api/block/getChildBlocks-API ermöglicht es einem Angreifer, sobald er eine Dokument-ID kennt, auf alle Inhaltblöcke zuzugreifen und sensible Informationen preiszugeben, die in den Dokumenten gespeichert sein könnten. Der Einfluss ist erheblich, insbesondere in Umgebungen, in denen SiYuan zur Speicherung vertraulicher Informationen verwendet wird.
Ein Angreifer könnte diese Schwachstelle ausnutzen, wenn er Leserechte auf Dokumente in SiYuan hat. Dies könnte über ein legitimes Benutzerkonto mit Leseberechtigungen oder über eine Schwachstelle in einer anderen Komponente des Systems erfolgen, die den Zugriff auf das Netzwerk ermöglicht, in dem SiYuan ausgeführt wird. Sobald der Angreifer Zugriff auf eine Dokument-ID hat, kann er die /api/block/getChildBlocks-API verwenden, um den gesamten Inhalt des Dokuments auszulesen, einschließlich sensibler Informationen wie Passwörter, persönlicher Daten oder vertraulicher Geschäftsdaten. Die einfache Ausnutzbarkeit macht diese Schwachstelle besonders besorgniserregend.
Exploit-Status
EPSS
0.04% (13% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abschwächung für CVE-2026-33669 ist die Aktualisierung von SiYuan auf Version 3.6.2 oder höher. Diese Version enthält eine Korrektur, die Anfragen an die /api/block/getChildBlocks-API ordnungsgemäß validiert und so unbefugten Zugriff auf den Dokumentinhalt verhindert. Darüber hinaus wird empfohlen, die Dokumentzugriffsberechtigungen in SiYuan zu überprüfen, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf sensible Informationen haben. Die Überwachung der Systemprotokolle auf verdächtige Aktivitäten im Zusammenhang mit den APIs /api/file/readDir und /api/block/getChildBlocks kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren.
Actualice SiYuan a la versión 3.6.2 o posterior. Esta versión corrige la vulnerabilidad que permite la lectura arbitraria de documentos dentro del servicio de publicación.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
SiYuan ist eine Open-Source-Notiz- und Wissensmanagement-Anwendung.
Wenn ein Angreifer Zugriff auf die Dokumente erhält, kann er deren Inhalt lesen und so die Vertraulichkeit der gespeicherten Informationen gefährden.
Wenn ein Update nicht sofort möglich ist, beschränken Sie den Zugriff auf SiYuan und überwachen Sie die Systemprotokolle auf verdächtige Aktivitäten.
Es ist wichtig, sich über die neuesten Sicherheitsupdates für SiYuan auf dem Laufenden zu halten und Sicherheitswarnungen zu prüfen, um über alle anderen bekannten Schwachstellen informiert zu sein.
Wenn Sie eine Version vor 3.6.2 verwenden, sind Sie anfällig. Überprüfen Sie die von Ihnen verwendete SiYuan-Version.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.