Plateforme
go
Composant
github.com/siyuan-note/siyuan/kernel
Corrigé dans
3.6.3
0.0.1
La CVE-2026-33669 est une vulnérabilité de divulgation d'informations affectant SiYuan Kernel. Elle permet à un attaquant d'accéder au contenu de documents sans autorisation via les interfaces /api/file/readDir et /api/block/getChildBlocks. Les versions affectées sont celles inférieures ou égales à 0.0.0-20260317012524-fe4523fff2c8. La version 3.6.2 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-33669 dans SiYuan permet à un attaquant disposant d'un accès en lecture aux documents de lire le contenu de tous les documents du système. Cela est réalisé en exploitant la manière dont l'API /api/file/readDir récupère les ID de documents, puis l'API /api/block/getChildBlocks est utilisée pour accéder au contenu de ces documents. L'absence de validation appropriée dans l'API /api/block/getChildBlocks permet à un attaquant, une fois qu'il connaît un ID de document, d'accéder à tous ses blocs de contenu, révélant des informations sensibles qui pourraient être stockées dans les documents. L'impact est significatif, en particulier dans les environnements où SiYuan est utilisé pour stocker des informations confidentielles.
Un attaquant pourrait exploiter cette vulnérabilité s'il dispose d'un accès en lecture aux documents dans SiYuan. Cela pourrait se faire par le biais d'un compte utilisateur légitime disposant de permissions de lecture, ou par le biais d'une vulnérabilité dans un autre composant du système qui permet d'obtenir un accès au réseau où SiYuan est exécuté. Une fois que l'attaquant a accès à un ID de document, il peut utiliser l'API /api/block/getChildBlocks pour lire tout le contenu du document, y compris des informations sensibles telles que des mots de passe, des données personnelles ou des informations commerciales confidentielles. La facilité d'exploitation rend cette vulnérabilité particulièrement préoccupante.
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour CVE-2026-33669 consiste à mettre à jour SiYuan vers la version 3.6.2 ou supérieure. Cette version inclut une correction qui valide correctement les requêtes adressées à l'API /api/block/getChildBlocks, empêchant ainsi l'accès non autorisé au contenu des documents. Il est également recommandé de revoir les permissions d'accès aux documents dans SiYuan afin de s'assurer que seuls les utilisateurs autorisés ont accès aux informations sensibles. La surveillance des journaux système à la recherche d'activités suspectes liées aux API /api/file/readDir et /api/block/getChildBlocks peut également aider à détecter et à répondre à d'éventuelles attaques.
Actualice SiYuan a la versión 3.6.2 o posterior. Esta versión corrige la vulnerabilidad que permite la lectura arbitraria de documentos dentro del servicio de publicación.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
SiYuan est une application de prise de notes et de gestion des connaissances open source.
Si un attaquant peut accéder aux documents, il peut lire leur contenu, compromettant ainsi la confidentialité des informations stockées.
Si la mise à jour n'est pas possible immédiatement, restreignez l'accès à SiYuan et surveillez les journaux système à la recherche d'activités suspectes.
Il est important de se tenir au courant des dernières mises à jour de sécurité de SiYuan et de consulter les alertes de sécurité pour connaître d'éventuelles autres vulnérabilités connues.
Si vous utilisez une version antérieure à 3.6.2, vous êtes vulnérable. Vérifiez la version de SiYuan que vous utilisez.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.