Plateforme
go
Composant
github.com/siyuan-note/siyuan/kernel
Corrigé dans
3.5.5
0.0.0-20260118092326-b2274baba2e1
La vulnérabilité CVE-2026-23850 est une faille de type SSRF (Server-Side Request Forgery) découverte dans le noyau (kernel) de SiYuan, une application de prise de notes. Cette vulnérabilité permet à un attaquant de forcer le serveur à effectuer des requêtes vers des destinations non intentionnelles, ouvrant potentiellement la voie à la lecture arbitraire de fichiers et à l'accès à des ressources internes. Elle affecte les versions antérieures à 0.0.0-20260118092326-b2274baba2e1 et une mise à jour est disponible pour corriger ce problème.
Un attaquant exploitant avec succès cette vulnérabilité SSRF pourrait potentiellement lire des fichiers sensibles sur le serveur SiYuan, tels que des fichiers de configuration, des données utilisateur ou des journaux. Cela pourrait conduire à la divulgation d'informations confidentielles. De plus, l'attaquant pourrait utiliser le serveur pour effectuer des requêtes vers d'autres systèmes internes, contournant ainsi les contrôles de sécurité et potentiellement compromettant d'autres services. Bien que le vecteur d'attaque ne soit pas directement exploitable pour l'exécution de code, la lecture de fichiers de configuration pourrait révéler des informations permettant d'autres attaques. La portée de l'attaque dépendra des permissions du processus SiYuan et des ressources auxquelles il a accès.
La vulnérabilité CVE-2026-23850 a été rendue publique le 2026-02-03. Il n'y a pas d'indication d'une inscription sur KEV à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une interaction utilisateur pour initier la requête SSRF. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement après la divulgation, augmentant le risque d'exploitation.
Organizations and individuals using SiYuan for note-taking and knowledge management are at risk, particularly those running self-hosted instances or deployments where the SiYuan Kernel is exposed to external networks. Shared hosting environments where multiple users share the same SiYuan instance are also at increased risk.
• go / server: Examine application logs for unusual outbound HTTP requests, particularly those originating from internal IP addresses or using unusual protocols. Use netstat or ss to monitor connections and identify suspicious activity.
ss -t tcp -4 -n | grep <internal_ip_address>• generic web: Monitor access logs for requests to internal resources or unusual file paths. Check response headers for signs of SSRF exploitation.
grep "/internal/path" /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.09% (percentile 25%)
CISA SSVC
La mitigation principale consiste à mettre à jour SiYuan vers la version 0.0.0-20260118092326-b2274baba2e1 ou une version ultérieure contenant la correction. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès réseau au serveur SiYuan pour limiter les requêtes externes qu'il peut effectuer. Envisagez également de mettre en place un pare-feu applicatif web (WAF) pour filtrer les requêtes suspectes. Vérifiez la configuration de SiYuan pour vous assurer qu'elle ne permet pas l'accès à des fichiers sensibles. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en tentant une requête SSRF et en vous assurant qu'elle est bloquée.
Actualice SiYuan a la versión 3.5.4 o posterior. Esta versión corrige la vulnerabilidad de lectura arbitraria de archivos (LFD) causada por el renderizado HTML del lado del servidor sin restricciones en la función markdown. La actualización previene el acceso no autorizado a archivos sensibles en el sistema.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-23850 is a Server-Side Request Forgery (SSRF) vulnerability in the SiYuan Kernel, allowing attackers to potentially read arbitrary files on the server. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using SiYuan Kernel versions prior to 0.0.0-20260118092326-b2274baba2e1. Upgrade to the patched version to mitigate the risk.
Upgrade SiYuan Kernel to version 0.0.0-20260118092326-b2274baba2e1 or later. Implement input validation and consider using a WAF as temporary protection.
There is currently no indication of active exploitation campaigns, but the SSRF nature of the vulnerability makes it a potential target.
Refer to the official SiYuan project website or GitHub repository for the latest security advisories and updates related to CVE-2026-23850.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.