प्लेटफ़ॉर्म
go
घटक
github.com/siyuan-note/siyuan/kernel
में ठीक किया गया
0.0.1
0.0.1
CVE-2025-67488 SiYuan Kernel में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। यह भेद्यता ZipSlip कमजोरियों का शोषण करके हमलावरों को मनमाना फ़ाइल ओवरराइट करने की अनुमति देती है, जिससे संभावित रूप से सिस्टम पर नियंत्रण प्राप्त हो सकता है। यह भेद्यता SiYuan के 3.5.0 से पहले के संस्करणों को प्रभावित करती है। 2025-12-15 को प्रकाशित, इस समस्या को हल करने के लिए 3.5.0 में अपग्रेड करने की सिफारिश की जाती है।
यह भेद्यता हमलावरों को SiYuan Kernel में मनमाना फ़ाइलें ओवरराइट करने की अनुमति देती है। ZipSlip कमजोरियों का शोषण करके, एक हमलावर सिस्टम पर मनमाना कोड निष्पादित कर सकता है, जिससे डेटा चोरी, सिस्टम नियंत्रण का पूर्ण समझौता और संभावित रूप से अन्य प्रणालियों में आगे बढ़ना संभव हो जाता है। इस भेद्यता का प्रभाव महत्वपूर्ण है, क्योंकि यह हमलावरों को SiYuan एप्लिकेशन के भीतर उच्च विशेषाधिकार प्राप्त करने और सिस्टम की सुरक्षा को खतरे में डालने की अनुमति देता है। यह Log4Shell जैसे अन्य फ़ाइल ओवरराइट शोषण के समान पैटर्न का अनुसरण करता है, जहां एक हमलावर अनपेक्षित स्थानों पर फ़ाइलें लिख सकता है।
CVE-2025-67488 को अभी तक KEV में जोड़ा नहीं गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, सक्रिय शोषण की संभावना है। इस CVE को 2025-12-15 को प्रकाशित किया गया था।
Organizations and individuals using SiYuan for note-taking, knowledge management, or any application where sensitive data is stored are at risk. This includes users who rely on SiYuan for collaborative work or data sharing, as a compromised instance could expose sensitive information to unauthorized parties. Users with older, unpatched SiYuan installations are particularly vulnerable.
• linux / server:
find /opt/siyuan/ -type f -name '*.zip' -print0 | xargs -0 grep -i '\\..' # Check for double backslashes in ZIP files• go / supply-chain:
Inspect SiYuan's Go dependencies for known vulnerabilities using go mod tidy and go vet.
• generic web:
Monitor web server access logs for requests containing ZIP files with unusual or deeply nested directory structures.
• linux / server:
journalctl -u siyuan -g "zip extraction" # Look for errors related to zip extractiondisclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-67488 के लिए प्राथमिक शमन उपाय SiYuan Kernel को संस्करण 3.5.0 में अपग्रेड करना है। यदि अपग्रेड तत्काल संभव नहीं है, तो फ़ाइल सिस्टम अनुमतियों को सख्त करने पर विचार करें ताकि अनधिकृत लेखन को रोका जा सके। WAF (वेब एप्लिकेशन फ़ायरवॉल) को कॉन्फ़िगर करें ताकि ZipSlip शोषण प्रयासों का पता लगाया जा सके और उन्हें अवरुद्ध किया जा सके। फ़ाइल ओवरराइट हमलों का पता लगाने के लिए सिस्टम लॉग की निगरानी करें। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, यह सुनिश्चित करने के लिए कि कोई अनधिकृत फ़ाइलें ओवरराइट नहीं की जा रही हैं।
Actualice SiYuan a la versión 3.5.0 o superior. Esta versión corrige la vulnerabilidad ZipSlip que permite la sobreescritura arbitraria de archivos. La actualización previene la posible ejecución remota de código.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-67488 SiYuan Kernel में एक रिमोट कोड एग्जीक्यूशन भेद्यता है जो ZipSlip कमजोरियों का शोषण करके हमलावरों को मनमाना फ़ाइलें ओवरराइट करने की अनुमति देती है।
यदि आप SiYuan Kernel के संस्करण 3.5.0 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-67488 को ठीक करने के लिए, SiYuan Kernel को संस्करण 3.5.0 में अपग्रेड करें।
हालांकि सार्वजनिक PoC उपलब्ध नहीं हैं, भेद्यता की गंभीरता को देखते हुए सक्रिय शोषण की संभावना है।
आधिकारिक SiYuan सलाहकार के लिए SiYuan वेबसाइट या GitHub रिपॉजिटरी की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।