प्लेटफ़ॉर्म
go
घटक
github.com/siyuan-note/siyuan/kernel
में ठीक किया गया
3.5.5
0.0.0-20260118092326-b2274baba2e1
CVE-2026-23850 SiYuan Kernel में एक गंभीर SSRF (सर्वर-साइड रिक्वेस्ट फोरेजरी) भेद्यता है। यह भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति दे सकती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है। यह भेद्यता SiYuan Kernel के 0.0.0-20260118092326-b2274baba2e1 से पहले के संस्करणों को प्रभावित करती है। इस भेद्यता को ठीक करने के लिए, तुरंत नवीनतम संस्करण में अपडेट करें।
SSRF भेद्यता का शोषण करने पर हमलावर आंतरिक संसाधनों तक पहुंच प्राप्त कर सकते हैं जो आमतौर पर बाहरी दुनिया के लिए दुर्गम होते हैं। इस मामले में, हमलावर SiYuan Kernel द्वारा संसाधित की जा रही मनमानी फ़ाइलों को पढ़ सकते हैं। इसमें कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस सामग्री या अन्य संवेदनशील जानकारी शामिल हो सकती है। एक सफल शोषण से डेटा का समझौता, सिस्टम की गोपनीयता का उल्लंघन और संभावित रूप से सिस्टम पर नियंत्रण का अधिग्रहण हो सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि इसका उपयोग अन्य आंतरिक प्रणालियों पर आगे के हमलों को लॉन्च करने के लिए किया जा सकता है, जिससे संभावित रूप से एक व्यापक समझौता हो सकता है।
CVE-2026-23850 को अभी तक सक्रिय रूप से शोषण करने के प्रमाण नहीं मिले हैं। हालाँकि, SSRF भेद्यताएँ अक्सर शोषण योग्य होती हैं, और सार्वजनिक रूप से उपलब्ध शोषण के विकास की संभावना है। इस CVE को 2026-02-03 को प्रकाशित किया गया था। EPSS स्कोर अभी तक निर्धारित नहीं किया गया है, लेकिन SSRF भेद्यता की प्रकृति को देखते हुए, इसे मध्यम से उच्च जोखिम माना जाना चाहिए।
Organizations and individuals using SiYuan for note-taking and knowledge management are at risk, particularly those running self-hosted instances or deployments where the SiYuan Kernel is exposed to external networks. Shared hosting environments where multiple users share the same SiYuan instance are also at increased risk.
• go / server: Examine application logs for unusual outbound HTTP requests, particularly those originating from internal IP addresses or using unusual protocols. Use netstat or ss to monitor connections and identify suspicious activity.
ss -t tcp -4 -n | grep <internal_ip_address>• generic web: Monitor access logs for requests to internal resources or unusual file paths. Check response headers for signs of SSRF exploitation.
grep "/internal/path" /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.09% (25% शतमक)
CISA SSVC
CVE-2026-23850 के लिए प्राथमिक शमन उपाय SiYuan Kernel को संस्करण 0.0.0-20260118092326-b2274baba2e1 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप SiYuan Kernel के सामने एक वेब एप्लिकेशन फ़ायरवॉल (WAF) तैनात करने पर विचार कर सकते हैं ताकि दुर्भावनापूर्ण अनुरोधों को फ़िल्टर किया जा सके। WAF को SSRF हमलों को रोकने के लिए कॉन्फ़िगर किया जाना चाहिए, जैसे कि बाहरी डोमेन तक पहुंच को प्रतिबंधित करना या अनुरोधों को मान्य करना। इसके अतिरिक्त, सुनिश्चित करें कि SiYuan Kernel को चलाने वाले सर्वर को सुरक्षित किया गया है और केवल अधिकृत उपयोगकर्ताओं के पास ही पहुंच है। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, SiYuan Kernel के भीतर फ़ाइलों तक अनधिकृत पहुंच का प्रयास करके।
Actualice SiYuan a la versión 3.5.4 o posterior. Esta versión corrige la vulnerabilidad de lectura arbitraria de archivos (LFD) causada por el renderizado HTML del lado del servidor sin restricciones en la función markdown. La actualización previene el acceso no autorizado a archivos sensibles en el sistema.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-23850 SiYuan Kernel में एक SSRF भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है।
यदि आप SiYuan Kernel के 0.0.0-20260118092326-b2274baba2e1 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
CVE-2026-23850 को ठीक करने के लिए, SiYuan Kernel को संस्करण 0.0.0-20260118092326-b2274baba2e1 या बाद के संस्करण में अपडेट करें।
CVE-2026-23850 के सक्रिय शोषण के कोई ज्ञात प्रमाण नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, शोषण की संभावना है।
कृपया SiYuan प्रोजेक्ट की आधिकारिक वेबसाइट या GitHub रिपॉजिटरी पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।