मुफ्त स्कैन करें
HIGHCVE-2026-23850CVSS 7.5

SiYuan में मनमाना फ़ाइल रीड / SSRF भेद्यता github.com/siyuan-note/siyuan/kernel में

प्लेटफ़ॉर्म

go

घटक

github.com/siyuan-note/siyuan/kernel

में ठीक किया गया

3.5.5

0.0.0-20260118092326-b2274baba2e1

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-23850 SiYuan Kernel में एक गंभीर SSRF (सर्वर-साइड रिक्वेस्ट फोरेजरी) भेद्यता है। यह भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति दे सकती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है। यह भेद्यता SiYuan Kernel के 0.0.0-20260118092326-b2274baba2e1 से पहले के संस्करणों को प्रभावित करती है। इस भेद्यता को ठीक करने के लिए, तुरंत नवीनतम संस्करण में अपडेट करें।

Go

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

go.mod अपलोड करें

प्रभाव और हमले की स्थितियाँ

SSRF भेद्यता का शोषण करने पर हमलावर आंतरिक संसाधनों तक पहुंच प्राप्त कर सकते हैं जो आमतौर पर बाहरी दुनिया के लिए दुर्गम होते हैं। इस मामले में, हमलावर SiYuan Kernel द्वारा संसाधित की जा रही मनमानी फ़ाइलों को पढ़ सकते हैं। इसमें कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस सामग्री या अन्य संवेदनशील जानकारी शामिल हो सकती है। एक सफल शोषण से डेटा का समझौता, सिस्टम की गोपनीयता का उल्लंघन और संभावित रूप से सिस्टम पर नियंत्रण का अधिग्रहण हो सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि इसका उपयोग अन्य आंतरिक प्रणालियों पर आगे के हमलों को लॉन्च करने के लिए किया जा सकता है, जिससे संभावित रूप से एक व्यापक समझौता हो सकता है।

शोषण संदर्भ

CVE-2026-23850 को अभी तक सक्रिय रूप से शोषण करने के प्रमाण नहीं मिले हैं। हालाँकि, SSRF भेद्यताएँ अक्सर शोषण योग्य होती हैं, और सार्वजनिक रूप से उपलब्ध शोषण के विकास की संभावना है। इस CVE को 2026-02-03 को प्रकाशित किया गया था। EPSS स्कोर अभी तक निर्धारित नहीं किया गया है, लेकिन SSRF भेद्यता की प्रकृति को देखते हुए, इसे मध्यम से उच्च जोखिम माना जाना चाहिए।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations and individuals using SiYuan for note-taking and knowledge management are at risk, particularly those running self-hosted instances or deployments where the SiYuan Kernel is exposed to external networks. Shared hosting environments where multiple users share the same SiYuan instance are also at increased risk.

पहचान के चरणअनुवाद हो रहा है…

• go / server: Examine application logs for unusual outbound HTTP requests, particularly those originating from internal IP addresses or using unusual protocols. Use netstat or ss to monitor connections and identify suspicious activity.

ss -t tcp -4 -n | grep <internal_ip_address>

• generic web: Monitor access logs for requests to internal resources or unusual file paths. Check response headers for signs of SSRF exploitation.

grep "/internal/path" /var/log/apache2/access.log

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO

EPSS

0.09% (25% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावpartial

प्रभावित सॉफ्टवेयर

घटकgithub.com/siyuan-note/siyuan/kernel
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
< 3.5.4 – < 3.5.43.5.5
0.0.0-20260118092326-b2274baba2e1

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-23850 के लिए प्राथमिक शमन उपाय SiYuan Kernel को संस्करण 0.0.0-20260118092326-b2274baba2e1 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप SiYuan Kernel के सामने एक वेब एप्लिकेशन फ़ायरवॉल (WAF) तैनात करने पर विचार कर सकते हैं ताकि दुर्भावनापूर्ण अनुरोधों को फ़िल्टर किया जा सके। WAF को SSRF हमलों को रोकने के लिए कॉन्फ़िगर किया जाना चाहिए, जैसे कि बाहरी डोमेन तक पहुंच को प्रतिबंधित करना या अनुरोधों को मान्य करना। इसके अतिरिक्त, सुनिश्चित करें कि SiYuan Kernel को चलाने वाले सर्वर को सुरक्षित किया गया है और केवल अधिकृत उपयोगकर्ताओं के पास ही पहुंच है। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, SiYuan Kernel के भीतर फ़ाइलों तक अनधिकृत पहुंच का प्रयास करके।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice SiYuan a la versión 3.5.4 o posterior. Esta versión corrige la vulnerabilidad de lectura arbitraria de archivos (LFD) causada por el renderizado HTML del lado del servidor sin restricciones en la función markdown. La actualización previene el acceso no autorizado a archivos sensibles en el sistema.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-23850 — SSRF SiYuan Kernel में क्या है?

CVE-2026-23850 SiYuan Kernel में एक SSRF भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है।

क्या मैं CVE-2026-23850 से SiYuan Kernel में प्रभावित हूँ?

यदि आप SiYuan Kernel के 0.0.0-20260118092326-b2274baba2e1 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं SiYuan Kernel में CVE-2026-23850 को कैसे ठीक करूँ?

CVE-2026-23850 को ठीक करने के लिए, SiYuan Kernel को संस्करण 0.0.0-20260118092326-b2274baba2e1 या बाद के संस्करण में अपडेट करें।

क्या CVE-2026-23850 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-23850 के सक्रिय शोषण के कोई ज्ञात प्रमाण नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, शोषण की संभावना है।

मैं SiYuan Kernel के लिए CVE-2026-23850 के लिए आधिकारिक सलाहकार कहाँ पा सकता हूँ?

कृपया SiYuan प्रोजेक्ट की आधिकारिक वेबसाइट या GitHub रिपॉजिटरी पर जाएँ।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें