Plateforme
go
Composant
github.com/siyuan-note/siyuan/kernel
Corrigé dans
3.5.6
0.0.1
La vulnérabilité CVE-2026-25539 affecte le noyau de SiYuan, une application de prise de notes. Elle permet une exécution arbitraire de code (RCE) via l'API /api/file/copyFile, permettant à un attaquant d'écrire des fichiers arbitraires sur le système. Cette faille critique impacte les versions antérieures à 3.5.5 et une mise à jour vers cette version est recommandée pour corriger le problème.
Cette vulnérabilité RCE est particulièrement dangereuse car elle permet à un attaquant d'écrire des fichiers arbitraires sur le système où SiYuan est en cours d'exécution. Un attaquant pourrait exploiter cette faille pour exécuter du code malveillant, compromettre la confidentialité des données, prendre le contrôle du système, ou même se propager à d'autres systèmes sur le réseau. L'impact potentiel est élevé, en particulier si SiYuan est utilisé dans un environnement sensible ou partagé. La capacité d'écrire des fichiers arbitraires contourne les mécanismes de sécurité standard, offrant un point d'entrée direct pour l'exécution de code non autorisé. Cela pourrait être comparable à des vulnérabilités de type 'file upload' mal configurées, où l'absence de validation appropriée permet l'exécution de code.
La vulnérabilité CVE-2026-25539 a été rendue publique le 2 février 2026. Il n'y a pas d'indication qu'elle soit actuellement activement exploitée, mais sa sévérité critique (CVSS 9.1) justifie une attention particulière. Il n'y a pas d'entrée dans le KEV (Known Exploited Vulnerabilities) à ce jour. La disponibilité d'un proof-of-concept (PoC) public pourrait augmenter le risque d'exploitation.
Organizations and individuals using SiYuan Kernel in production environments, particularly those with publicly accessible instances or those lacking robust input validation and access controls, are at significant risk. Shared hosting environments where multiple users share the same SiYuan instance are also particularly vulnerable.
• linux / server:
journalctl -u siyuan -g "/api/file/copyFile"• generic web:
curl -I 'http://<siyuan_server>/api/file/copyFile?path=../../../../etc/passwd' # Check for directory traversaldisclosure
Statut de l'Exploit
EPSS
0.23% (percentile 46%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour SiYuan vers la version 3.5.5 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire pourrait consister à restreindre l'accès à l'API /api/file/copyFile via un pare-feu ou un proxy inverse. Il est également recommandé de surveiller attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte liée à cette API. En attendant la mise à jour, une configuration plus stricte des permissions d'écriture sur le système de fichiers pourrait limiter l'impact d'une exploitation réussie. Après la mise à jour, vérifiez que l'API /api/file/copyFile ne permet plus l'écriture de fichiers arbitraires en tentant une requête avec un chemin de fichier malveillant.
Mettez à jour SiYuan vers la version 3.5.5 ou ultérieure. Cette version corrige la vulnérabilité d'écriture arbitraire de fichiers. La mise à jour peut être effectuée via l'interface d'administration du logiciel ou en téléchargeant la dernière version depuis le site web officiel.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-25539 is a critical Remote Code Execution vulnerability in SiYuan Kernel, allowing attackers to write arbitrary files via the /api/file/copyFile endpoint, potentially leading to system compromise.
You are affected if you are using SiYuan Kernel versions prior to 3.5.5. Immediately check your version and upgrade if necessary.
Upgrade SiYuan Kernel to version 3.5.5 or later. As a temporary workaround, restrict access to the /api/file/copyFile endpoint using a WAF or proxy.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention and mitigation.
Refer to the official SiYuan project website and GitHub repository for the latest security advisories and updates regarding CVE-2026-25539.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.