Plateforme
other
Composant
siyuan
Corrigé dans
3.6.3
CVE-2026-33670 est une vulnérabilité de type Directory Traversal affectant SiYuan, un système de gestion de connaissances personnelles. Elle permettait, via l'interface /api/file/readDir, de parcourir et de récupérer les noms de fichiers de tous les documents d'un bloc-notes. Cette vulnérabilité affecte les versions inférieures à 3.6.2. Elle a été corrigée dans la version 3.6.2.
La vulnérabilité CVE-2026-33670 affecte SiYuan, un système de gestion des connaissances personnelles, dans les versions antérieures à la 3.6.2. La vulnérabilité réside dans l'interface /api/file/readDir, qui permettait à un acteur malveillant de parcourir et de récupérer les noms de tous les documents dans un carnet. Cela pourrait entraîner l'exposition d'informations sensibles contenues dans ces documents, en particulier si l'accès à SiYuan n'est pas correctement restreint. La vulnérabilité est notée 9.8 sur l'échelle CVSS, ce qui indique un risque critique. Une exploitation réussie pourrait compromettre la confidentialité des données de l'utilisateur, permettant à un attaquant d'accéder à des informations personnelles, professionnelles ou confidentielles stockées dans le système SiYuan.
La vulnérabilité est exploitée via l'interface /api/file/readDir. Un attaquant pourrait envoyer des requêtes malveillantes à cette interface pour obtenir une liste des noms de fichiers dans un carnet. L'absence de validation appropriée côté serveur permet à un attaquant de contourner les restrictions et d'accéder aux informations. Le contexte d'exploitation est particulièrement préoccupant dans les environnements où SiYuan est utilisé pour stocker des informations confidentielles, car l'exposition des noms de fichiers pourrait faciliter l'identification de cibles précieuses pour une attaque ultérieure. L'absence d'un KEV (Kernel Exploit Verification) indique qu'il n'y a pas de vérification publique de l'exploitation, mais le score CVSS élevé suggère que la vulnérabilité est facilement exploitable.
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité consiste à mettre à jour SiYuan vers la version 3.6.2 ou ultérieure. Cette mise à jour corrige l'interface /api/file/readDir, empêchant l'accès non autorisé aux noms de fichiers. Il est fortement recommandé à tous les utilisateurs de SiYuan de mettre à jour leurs installations dès que possible pour atténuer le risque d'exploitation. De plus, il est important de revoir et de renforcer les politiques d'accès au système SiYuan, en s'assurant que seuls les utilisateurs autorisés ont accès aux données sensibles. Surveiller les journaux du système à la recherche d'activités suspectes peut également aider à détecter et à répondre aux tentatives d'exploitation potentielles.
Actualice SiYuan a la versión 3.6.2 o superior. Esta versión corrige la vulnerabilidad de recorrido de directorios en el servicio de publicación.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
SiYuan est un système de gestion des connaissances personnelles qui permet aux utilisateurs d'organiser et d'accéder à leurs notes et documents.
La version 3.6.2 corrige la vulnérabilité CVE-2026-33670, qui permet un accès non autorisé aux noms de fichiers.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de restreindre l'accès au système SiYuan et de surveiller les journaux à la recherche d'activités suspectes.
Si vous utilisez une version antérieure à la 3.6.2, vous êtes vulnérable à cette vulnérabilité.
CVSS 9.8 indique un risque critique, ce qui signifie que la vulnérabilité est facilement exploitable et peut avoir un impact important.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.