Plateforme
go
Composant
github.com/siyuan-note/siyuan/kernel
Corrigé dans
3.6.2
0.0.1
Une vulnérabilité de type SQL Injection a été découverte dans le noyau de SiYuan Note, affectant les versions antérieures à 3.6.1. Cette faille critique permet à un utilisateur authentifié, même avec un rôle de lecteur, d'exécuter des requêtes SQL arbitraires contre la base de données de l'application. L'exploitation réussie de cette vulnérabilité peut entraîner une compromission complète de la base de données et des données sensibles qu'elle contient. La version 3.6.1 corrige cette faille.
L'impact de cette vulnérabilité est extrêmement élevé. Un attaquant peut exploiter cette faille pour exécuter des requêtes SQL arbitraires, ce qui lui permet de lire, modifier ou supprimer des données de la base de données SiYuan Note. Il peut ainsi voler des informations confidentielles, compromettre l'intégrité des données, ou même détruire la base de données entière. Le fait que l'exploitation ne nécessite qu'une authentification basique (même avec un rôle de lecteur) élargit considérablement la surface d'attaque. Cette vulnérabilité présente des similitudes avec d'autres failles SQL Injection où l'injection de code malveillant est possible via des paramètres non validés dans des requêtes de base de données, ce qui pourrait permettre un accès non autorisé aux données sensibles.
Cette vulnérabilité a été publiée le 16 mars 2026. Bien que son score CVSS soit critique (9.8), il n'y a pas d'indication d'une présence sur le KEV de CISA au moment de la rédaction. La disponibilité d'un proof-of-concept public est inconnue à ce jour. Il est important de surveiller l'évolution de la situation et de rester informé des éventuelles campagnes d'exploitation.
Organizations and individuals using SiYuan Note, particularly those with sensitive data stored within the application, are at risk. Shared hosting environments where multiple users share a single SiYuan Note instance are especially vulnerable, as a compromised user account could potentially impact the entire environment. Users relying on legacy configurations or outdated versions of SiYuan Note are also at increased risk.
• linux / server: Monitor SiYuan Note application logs for unusual SQL queries, particularly those involving the /api/search/fullTextSearchBlock endpoint. Use journalctl -u siyuan to filter for relevant log entries.
journalctl -u siyuan | grep '/api/search/fullTextSearchBlock'• database (mysql, redis, mongodb, postgresql): If SiYuan Note uses a database accessible from the server, monitor for suspicious SQL queries. For example, using mysql:
mysql -u <user> -p -e "SHOW PROCESSLIST;"• generic web: Monitor web server access logs for requests to /api/search/fullTextSearchBlock with unusual parameters. Use grep to search for suspicious patterns.
grep '/api/search/fullTextSearchBlock' /var/log/apache2/access.logdiscovery
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour SiYuan Note vers la version 3.6.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire pourrait consister à restreindre l'accès à l'endpoint /api/search/fullTextSearchBlock aux utilisateurs autorisés uniquement. L'implémentation d'un Web Application Firewall (WAF) avec des règles spécifiques pour détecter et bloquer les requêtes SQL malveillantes ciblant cet endpoint peut également aider à atténuer le risque. Il est également recommandé de surveiller attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité de la base de données et assurez-vous que les requêtes SQL sont correctement validées.
Mettez à jour SiYuan à la version 3.6.1 ou supérieure. Cette version corrige la vulnérabilité de contournement d'autorisation dans le point de terminaison /api/search/fullTextSearchBlock, empêchant l'exécution arbitraire de requêtes SQL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32767 is a critical SQL injection vulnerability in the SiYuan Note kernel that allows authenticated users to execute arbitrary SQL commands, potentially compromising the entire database.
You are affected if you are using SiYuan Note versions prior to 3.6.1 (≤0.0.0-20260313024916-fd6526133bb3).
Upgrade SiYuan Note to version 3.6.1 or later to remediate the vulnerability. Consider temporary workarounds like input validation if immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest it is likely to become a target.
Refer to the official SiYuan Note security advisories on their GitHub repository for the latest information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.