Plattform
other
Komponente
siyuan
Behoben in
3.6.3
CVE-2026-33670 describes a Directory Traversal vulnerability affecting SiYuan, a personal knowledge management system. This flaw allows attackers to traverse directories and retrieve file names of all documents within a notebook. This issue affected versions of SiYuan less than or equal to 3.6.2. The vulnerability has been patched in version 3.6.2.
CVE-2026-33670 betrifft SiYuan, ein persönliches Wissensmanagementsystem, in Versionen vor 3.6.2. Die Schwachstelle liegt in der /api/file/readDir-Schnittstelle, die es einem bösartigen Akteur ermöglichte, alle Dokumente innerhalb eines Notizbuchs aufzulisten und deren Namen abzurufen. Dies könnte zur Offenlegung sensibler Informationen führen, die in diesen Dokumenten enthalten sind, insbesondere wenn der Zugriff auf SiYuan nicht ordnungsgemäß eingeschränkt ist. Die Schwere der Schwachstelle wird mit 9,8 auf der CVSS-Skala bewertet, was ein kritisches Risiko anzeigt. Eine erfolgreiche Ausnutzung könnte die Vertraulichkeit der Benutzerdaten gefährden und einem Angreifer ermöglichen, persönliche, berufliche oder vertrauliche Informationen zu erhalten, die im SiYuan-System gespeichert sind.
Die Schwachstelle wird über die /api/file/readDir-Schnittstelle ausgenutzt. Ein Angreifer könnte bösartige Anfragen an diese Schnittstelle senden, um eine Liste der Dateinamen innerhalb eines Notizbuchs zu erhalten. Das Fehlen einer ordnungsgemäßen serverseitigen Validierung ermöglicht es einem Angreifer, Einschränkungen zu umgehen und auf die Informationen zuzugreifen. Der Ausnutzungskontext ist besonders besorgniserregend in Umgebungen, in denen SiYuan zur Speicherung vertraulicher Informationen verwendet wird, da die Offenlegung von Dateinamen die Identifizierung wertvoller Ziele für einen späteren Angriff erleichtern könnte. Das Fehlen einer KEV (Kernel Exploit Verification) deutet darauf hin, dass es keine öffentliche Verifizierung der Ausnutzung gibt, aber die hohe CVSS-Punktzahl darauf hindeutet, dass die Schwachstelle leicht ausgenutzt werden kann.
Exploit-Status
EPSS
0.06% (18% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, SiYuan auf Version 3.6.2 oder höher zu aktualisieren. Dieses Update behebt die /api/file/readDir-Schnittstelle und verhindert so unbefugten Zugriff auf Dateinamen. Es wird dringend empfohlen, dass alle SiYuan-Benutzer ihre Installationen so schnell wie möglich aktualisieren, um das Risiko einer Ausnutzung zu mindern. Darüber hinaus ist es wichtig, die Zugriffsberechtigungen für das SiYuan-System zu überprüfen und zu verstärken, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf sensible Daten haben. Die Überwachung der Systemprotokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Ausnutzungsversuche zu erkennen und darauf zu reagieren.
Actualice SiYuan a la versión 3.6.2 o superior. Esta versión corrige la vulnerabilidad de recorrido de directorios en el servicio de publicación.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
SiYuan ist ein persönliches Wissensmanagementsystem, das es Benutzern ermöglicht, ihre Notizen und Dokumente zu organisieren und darauf zuzugreifen.
Version 3.6.2 behebt die CVE-2026-33670-Schwachstelle, die unbefugten Zugriff auf Dateinamen ermöglicht.
Wenn Sie nicht sofort aktualisieren können, sollten Sie den Zugriff auf das SiYuan-System einschränken und die Protokolle auf verdächtige Aktivitäten überwachen.
Wenn Sie eine Version vor 3.6.2 verwenden, sind Sie anfällig für diese Schwachstelle.
CVSS 9.8 deutet auf ein kritisches Risiko hin, was bedeutet, dass die Schwachstelle leicht ausgenutzt werden kann und erhebliche Auswirkungen haben kann.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.