Plataforma
go
Componente
github.com/siyuan-note/siyuan/kernel
Corregido en
3.5.6
0.0.1
Se ha descubierto una vulnerabilidad de Path Traversal en el kernel de SiYuan, específicamente en la API de lectura de archivos. Esta falla permite a un atacante eludir las restricciones de seguridad y acceder a archivos arbitrarios en el sistema. La vulnerabilidad afecta a versiones anteriores a 3.5.5 y se recomienda actualizar a la última versión disponible o implementar medidas de mitigación.
La vulnerabilidad de Path Traversal en SiYuan Kernel permite a un atacante leer archivos confidenciales del sistema, incluyendo configuraciones, claves de API, y datos sensibles de los usuarios. Un atacante podría explotar esta vulnerabilidad para obtener información valiosa que podría utilizar para comprometer aún más el sistema o para robar datos. El impacto potencial es significativo, ya que la exposición de información confidencial puede tener consecuencias graves para la privacidad y la seguridad de los usuarios y la organización.
La vulnerabilidad CVE-2026-25992 fue publicada el 2 de febrero de 2026. No se ha reportado explotación activa en entornos reales, pero la naturaleza de la vulnerabilidad de Path Traversal la hace susceptible a ataques automatizados. No se ha añadido a KEV ni se ha determinado un EPSS score. Se recomienda monitorear activamente los sistemas para detectar posibles intentos de explotación.
SiYuan users running versions prior to 3.5.5 are at risk. This includes individuals and organizations using SiYuan for personal note-taking, team collaboration, or knowledge management. Shared hosting environments where SiYuan is installed are particularly vulnerable, as a compromise of one user's instance could potentially impact others.
• go / server:
find / -name "siyuan/kernel" -type d -print• go / server:
ps aux | grep siyuan• generic web:
Inspect access logs for requests containing unusual path traversal sequences (e.g., ../../../../etc/passwd).
• generic web:
Monitor response headers for unexpected file content types.
disclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar SiYuan Kernel a la versión 3.5.5 o superior, que incluye la corrección de la falla. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos en el sistema de archivos para limitar el acceso a archivos sensibles. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan secuencias de caracteres sospechosas que podrían indicar un intento de Path Traversal. Verifique que la API de lectura de archivos solo permita el acceso a los archivos autorizados y valide rigurosamente la entrada del usuario.
Actualice SiYuan a la versión 3.5.5 o posterior. Esta versión corrige la vulnerabilidad de omisión de la validación de acceso a archivos sensibles debido a la distinción entre mayúsculas y minúsculas en los sistemas de archivos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25992 is a Path Traversal vulnerability in SiYuan Kernel, allowing attackers to read arbitrary files due to a case sensitivity bypass in the File Read API.
You are affected if you are using SiYuan Kernel versions prior to 3.5.5. Upgrade to the latest version to mitigate the risk.
Upgrade SiYuan Kernel to version 3.5.5 or later. If immediate upgrade is not possible, implement stricter file access controls.
As of the public disclosure date, there are no known public exploits or active campaigns targeting this vulnerability, but monitoring is advised.
Refer to the official SiYuan project website and GitHub repository for security advisories and updates related to CVE-2026-25992.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.