Plataforma
go
Componente
github.com/siyuan-note/siyuan/kernel
Corregido en
3.6.2
0.0.1
3.6.2
La vulnerabilidad CVE-2026-32749 es un fallo de Path Traversal descubierto en el kernel de Siyuan, una aplicación de toma de notas. Esta vulnerabilidad permite a un administrador escribir archivos en ubicaciones arbitrarias fuera del directorio temporal, lo que podría resultar en la ejecución remota de código. Afecta a versiones de Siyuan anteriores o iguales a 0.0.0-20260313024916-fd6526133bb3. Se ha publicado una corrección en la versión 3.6.1.
Un atacante puede explotar esta vulnerabilidad subiendo archivos maliciosos a través de las rutas /api/import/importSY y /api/import/importZipMd. El código vulnerable en kernel/api/import.go construye la ruta de escritura de archivos utilizando el nombre de archivo proporcionado en la solicitud multipart sin una sanitización adecuada. Esto permite al atacante manipular la ruta para escribir archivos fuera del directorio temporal, potencialmente en ubicaciones críticas del sistema. La ejecución de código arbitrario podría permitir al atacante tomar el control completo del sistema, comprometer datos confidenciales y realizar otras acciones maliciosas. La falta de validación de la entrada del usuario es la causa principal de esta vulnerabilidad.
Esta vulnerabilidad fue publicada el 2026-03-16. No se ha confirmado la explotación activa en entornos reales, pero la naturaleza de Path Traversal y la posibilidad de ejecución remota de código la convierten en un riesgo significativo. La vulnerabilidad se encuentra en el kernel de Siyuan, lo que aumenta su impacto potencial. Se recomienda monitorear activamente los sistemas Siyuan para detectar signos de explotación.
Administrators of Siyuan note-taking applications are at the highest risk. Specifically, deployments where administrative users have unrestricted file upload privileges are particularly vulnerable. Shared hosting environments where multiple users share the same Siyuan instance also face increased risk, as a compromised administrator account could impact all users on the system.
• linux / server:
journalctl -u siyuan -g "importSY" -g "importZipMd"• generic web:
curl -I 'http://your-siyuan-server/api/import/importSY?file=../../../../etc/passwd' # Check for 200 OK or other unexpected responses• generic web:
Grep access logs for requests containing suspicious filenames like ../../ or ..\ in the file parameter of the /api/import/importSY or /api/import/importZipMd endpoints.
disclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 3.6.1 de Siyuan, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad temporales. Estas medidas incluyen restringir el acceso a las rutas /api/import/importSY y /api/import/importZipMd solo a usuarios autorizados y configurar un firewall de aplicaciones web (WAF) para bloquear solicitudes con nombres de archivo sospechosos. Además, se puede implementar un sistema de monitoreo para detectar intentos de escritura de archivos en ubicaciones no autorizadas. Después de la actualización, confirme la corrección revisando los registros del sistema en busca de errores relacionados con la importación de archivos.
Actualice SiYuan a la versión 3.6.1 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos. Si está utilizando SiYuan en un contenedor Docker, asegúrese de actualizar la imagen del contenedor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32749 is a Path Traversal vulnerability in the Siyuan kernel allowing attackers to write files outside the intended directory, potentially leading to RCE.
You are affected if you are running Siyuan kernel versions ≤0.0.0-20260313024916-fd6526133bb3. Upgrade to 3.6.1 or later.
Upgrade to Siyuan kernel version 3.6.1 or later. Implement WAF rules and restrict file upload permissions as temporary mitigations.
Active exploitation is not currently confirmed, but the vulnerability's nature suggests a high likelihood of exploitation.
Refer to the official Siyuan security advisories on their website or GitHub repository for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.