Plateforme
go
Composant
github.com/siyuan-note/siyuan/kernel
Corrigé dans
3.1.17
0.0.1
La vulnérabilité CVE-2024-55659 concerne un accès arbitraire à des fichiers dans le noyau de SiYuan, une application de prise de notes. Cette faille permet à un attaquant d'écrire des fichiers arbitraires sur le système via l'endpoint /api/asset/upload. Elle affecte les versions antérieures à 3.1.16 et a été corrigée dans cette version. Une mise à jour est fortement recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'écrire des fichiers arbitraires sur le système où SiYuan est installé. Cela peut conduire à une prise de contrôle complète du système, à l'exécution de code malveillant, à la modification de fichiers système critiques, ou à la compromission de données sensibles. L'attaquant pourrait potentiellement injecter des fichiers malveillants, tels que des scripts ou des exécutables, qui seraient ensuite exécutés par le système, ouvrant la porte à des attaques plus sophistiquées. La surface d'attaque est significative, car l'accès à l'API est souvent accessible via le réseau.
La vulnérabilité a été rendue publique le 12 décembre 2024. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. Aucun PoC public n'a été largement diffusé, mais la simplicité de l'exploitation potentielle suggère un risque modéré. La vulnérabilité n'est pas répertoriée sur le KEV de CISA au moment de la rédaction.
Organizations and individuals using SiYuan for knowledge management, particularly those running versions prior to 3.1.16, are at risk. This includes teams relying on SiYuan for internal documentation, research, or collaboration. Shared hosting environments where SiYuan is deployed could be particularly vulnerable, as a compromised instance could potentially impact other tenants.
• go / server:
find /var/log -name "siyuan.log*" -print0 | xargs -0 grep -i "/api/asset/upload"• generic web:
curl -I <siyuan_url>/api/asset/upload | grep -i 'content-type'• linux / server:
journalctl -u siyuan -f | grep -i "/api/asset/upload"disclosure
Statut de l'Exploit
EPSS
0.53% (percentile 67%)
CISA SSVC
La mitigation principale consiste à mettre à jour SiYuan vers la version 3.1.16 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre l'accès à l'endpoint /api/asset/upload via un pare-feu ou un proxy inverse. Il est également recommandé de surveiller les journaux d'accès pour détecter toute tentative d'écriture de fichiers non autorisés. Après la mise à jour, vérifiez l'intégrité des fichiers système et examinez les journaux d'événements pour détecter toute activité suspecte.
Actualice SiYuan a la versión 3.1.16 o posterior. Esta versión contiene una corrección para la vulnerabilidad de escritura arbitraria de archivos y XSS almacenado. La actualización se puede realizar a través de la interfaz de administración de SiYuan o descargando la última versión del sitio web oficial.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-55659 is a vulnerability in SiYuan allowing attackers to write arbitrary files via the /api/asset/upload endpoint, potentially leading to code execution. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using SiYuan versions prior to 3.1.16. Check your current version and upgrade immediately if necessary.
Upgrade SiYuan to version 3.1.16 or later. As a temporary workaround, restrict access to the /api/asset/upload endpoint and implement strict file validation.
There are currently no known active exploits, but the vulnerability's simplicity suggests it may be targeted in the future.
Refer to the SiYuan project's official release notes and security advisories on their GitHub repository: https://github.com/siyuan-note/siyuan/releases
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.