Plataforma
go
Componente
github.com/siyuan-note/siyuan/kernel
Corregido en
3.6.3
0.0.1
El CVE-2026-33476 describe una vulnerabilidad de Path Traversal en el kernel de Siyuan. Esta falla permite a atacantes leer archivos arbitrarios en el servidor, incluso sin autenticación, debido a una sanitización incorrecta de la ruta del archivo en el endpoint /appearance/*filepath. La vulnerabilidad afecta a versiones del kernel de Siyuan anteriores o iguales a 0.0.0-20260317012524-fe4523fff2c8, y se recomienda actualizar a la versión 3.6.2 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad enviando solicitudes HTTP maliciosas al endpoint /appearance/*filepath para leer archivos sensibles en el servidor. La falta de autenticación en este endpoint significa que cualquier usuario, incluso anónimo, puede intentar leer archivos. Los archivos potencialmente accesibles incluyen configuraciones, claves de API, datos de usuario y cualquier otro archivo al que tenga acceso el proceso del servidor. La explotación exitosa de esta vulnerabilidad podría resultar en la divulgación de información confidencial, la modificación de la configuración del sistema o incluso la ejecución de código arbitrario si se encuentran archivos ejecutables accesibles. Esta vulnerabilidad se asemeja a otros ataques de Path Traversal que han afectado a diversas aplicaciones web, permitiendo el acceso no autorizado a recursos sensibles.
El CVE-2026-33476 fue publicado el 2026-03-20. No se ha añadido a la lista KEV de CISA al momento de esta redacción. La probabilidad de explotación se considera media, dado que la vulnerabilidad no requiere autenticación y el código fuente es público, lo que facilita la creación de pruebas de concepto. Es probable que surjan pruebas de concepto públicas en los próximos días o semanas. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations and individuals using Siyuan for note-taking, particularly those running self-hosted instances or deployments with less stringent security controls, are at risk. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as an attacker could potentially access data belonging to other users.
• linux / server:
journalctl -u siyuan | grep -i "path traversal"• generic web:
curl -I http://<siyuan_server>/appearance/../../../../etc/passwd• generic web:
grep -r "/appearance/" /var/log/apache2/access.logDiscovery
Disclosure
Patch
Estado del Exploit
EPSS
0.73% (72% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para el CVE-2026-33476 es actualizar el kernel de Siyuan a la versión 3.6.2 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización a la versión 3.6.2 causa problemas de compatibilidad, se recomienda evaluar la posibilidad de un rollback a una versión anterior estable, aunque esto podría exponer a la aplicación a otras vulnerabilidades. Como medida adicional, se puede implementar un Web Application Firewall (WAF) o un proxy inverso para filtrar solicitudes maliciosas que intenten explotar esta vulnerabilidad. La configuración del WAF debe incluir reglas para bloquear solicitudes con secuencias de caracteres de Path Traversal, como '..' o '/../'. Es crucial revisar y fortalecer la validación de entrada en el código fuente para prevenir futuras vulnerabilidades de Path Traversal.
Actualice SiYuan a la versión 3.6.2 o posterior. Esta versión corrige la vulnerabilidad de recorrido de directorios que permite la lectura no autorizada de archivos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33476 is a Path Traversal vulnerability in the Siyuan Kernel affecting versions prior to 3.6.2. It allows unauthenticated attackers to read arbitrary files on the server.
You are affected if you are using Siyuan Kernel versions prior to 3.6.2. Check your installed version against the affected range.
Upgrade to Siyuan Kernel version 3.6.2 or later. As a temporary workaround, implement a WAF rule to block access to the /appearance/*filepath endpoint.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a high likelihood of scanning and potential exploitation attempts.
Refer to the official Siyuan project website and GitHub repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.