Plateforme
go
Composant
github.com/siyuan-note/siyuan/kernel
Corrigé dans
3.6.2
0.0.1
3.6.2
La vulnérabilité CVE-2026-32749 est une faille de traversal de chemin (Path Traversal) découverte dans le noyau de Siyuan, un logiciel de prise de notes. Cette faille permet à un administrateur d'écrire des fichiers à des emplacements arbitraires en dehors du répertoire temporaire, y compris des chemins système, ce qui peut conduire à une exécution de code à distance (RCE). Elle affecte les versions du noyau de Siyuan antérieures ou égales à 0.0.0-20260313024916-fd6526133bb3. La correction est disponible dans la version 3.6.1.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette faille de traversal de chemin pour écrire des fichiers exécutables dans des emplacements critiques du système, tels que /etc/init.d ou des répertoires de configuration. En injectant et en exécutant du code malveillant, l'attaquant peut compromettre l'intégrité du système, voler des données sensibles ou prendre le contrôle total de la machine. Cette vulnérabilité présente des similitudes avec d'autres failles de traversal de chemin qui ont conduit à des compromissions de systèmes entiers. La capacité d'écrire des fichiers arbitraires permet également une escalade de privilèges, donnant à l'attaquant un accès administratif.
Cette vulnérabilité a été rendue publique le 2026-03-16. Bien qu'il n'y ait pas d'indications d'exploitation active à ce jour, la nature de la vulnérabilité (traversal de chemin menant à RCE) la rend potentiellement attrayante pour les attaquants. Il est probable que des preuves de concept (PoC) publiques soient développées prochainement. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA, mais sa gravité (CVSS 7.6 – ÉLEVÉ) justifie une surveillance attentive.
Administrators of Siyuan note-taking applications are at the highest risk. Specifically, deployments where administrative users have unrestricted file upload privileges are particularly vulnerable. Shared hosting environments where multiple users share the same Siyuan instance also face increased risk, as a compromised administrator account could impact all users on the system.
• linux / server:
journalctl -u siyuan -g "importSY" -g "importZipMd"• generic web:
curl -I 'http://your-siyuan-server/api/import/importSY?file=../../../../etc/passwd' # Check for 200 OK or other unexpected responses• generic web:
Grep access logs for requests containing suspicious filenames like ../../ or ..\ in the file parameter of the /api/import/importSY or /api/import/importZipMd endpoints.
disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 24%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à niveau Siyuan vers la version 3.6.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, une solution de contournement temporaire consiste à configurer un pare-feu pour bloquer les requêtes POST vers /api/import/importSY et /api/import/importZipMd depuis des sources non fiables. Il est également recommandé de renforcer les permissions sur le répertoire temporaire de Siyuan afin de limiter l'accès en écriture aux seuls processus autorisés. Surveillez les journaux système pour détecter toute tentative d'écriture de fichiers dans des emplacements inattendus. Après la mise à niveau, vérifiez que les fichiers importés sont bien stockés dans le répertoire temporaire prévu et non dans des emplacements système.
Actualice SiYuan a la versión 3.6.1 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos. Si está utilizando SiYuan en un contenedor Docker, asegúrese de actualizar la imagen del contenedor.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32749 is a Path Traversal vulnerability in the Siyuan kernel allowing attackers to write files outside the intended directory, potentially leading to RCE.
You are affected if you are running Siyuan kernel versions ≤0.0.0-20260313024916-fd6526133bb3. Upgrade to 3.6.1 or later.
Upgrade to Siyuan kernel version 3.6.1 or later. Implement WAF rules and restrict file upload permissions as temporary mitigations.
Active exploitation is not currently confirmed, but the vulnerability's nature suggests a high likelihood of exploitation.
Refer to the official Siyuan security advisories on their website or GitHub repository for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.