मुफ्त स्कैन करें
HIGHCVE-2026-25992CVSS 7.5

SiYuan File Read API केस सेंसिटिविटी बाईपास के कारण github.com/siyuan-note/siyuan/kernel में पाथ ट्रैवर्सल हो सकता है

प्लेटफ़ॉर्म

go

घटक

github.com/siyuan-note/siyuan/kernel

में ठीक किया गया

3.5.6

0.0.1

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-25992 SiYuan Kernel में एक पथ ट्रैवर्सल भेद्यता है। यह भेद्यता हमलावरों को संवेदनशील फ़ाइलों तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है। यह भेद्यता SiYuan Kernel के 3.5.0 से 3.5.4 तक के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, SiYuan Kernel को संस्करण 3.5.5 में अपडेट करने की अनुशंसा की जाती है।

Go

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

go.mod अपलोड करें

प्रभाव और हमले की स्थितियाँ

यह पथ ट्रैवर्सल भेद्यता हमलावरों को SiYuan Kernel के फ़ाइल सिस्टम में मनमाने ढंग से फ़ाइलों तक पहुंचने की अनुमति देती है। हमलावर संवेदनशील डेटा जैसे कॉन्फ़िगरेशन फ़ाइलें, पासवर्ड या अन्य गोपनीय जानकारी को पढ़ सकते हैं। इस भेद्यता का उपयोग सिस्टम पर आगे के हमले शुरू करने के लिए भी किया जा सकता है। चूंकि SiYuan एक नोट-टेकिंग एप्लिकेशन है, इसलिए इसमें संग्रहीत डेटा की गोपनीयता और अखंडता से समझौता किया जा सकता है। इस भेद्यता का शोषण करने के लिए, एक हमलावर को एक विशेष रूप से तैयार अनुरोध भेजना होगा जो पथ ट्रैवर्सल को ट्रिगर करता है।

शोषण संदर्भ

CVE-2026-25992 को 2026-02-02 को सार्वजनिक रूप से प्रकट किया गया था। वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। इस भेद्यता को CISA KEV में शामिल नहीं किया गया है। भेद्यता की गंभीरता को देखते हुए, सुरक्षा पेशेवरों को इस मुद्दे को गंभीरता से लेने और उचित शमन उपाय लागू करने की सलाह दी जाती है।

कौन जोखिम में हैअनुवाद हो रहा है…

SiYuan users running versions prior to 3.5.5 are at risk. This includes individuals and organizations using SiYuan for personal note-taking, team collaboration, or knowledge management. Shared hosting environments where SiYuan is installed are particularly vulnerable, as a compromise of one user's instance could potentially impact others.

पहचान के चरणअनुवाद हो रहा है…

• go / server:

find / -name "siyuan/kernel" -type d -print

• go / server:

ps aux | grep siyuan

• generic web: Inspect access logs for requests containing unusual path traversal sequences (e.g., ../../../../etc/passwd). • generic web: Monitor response headers for unexpected file content types.

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.06% (19% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकgithub.com/siyuan-note/siyuan/kernel
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
< 3.5.5 – < 3.5.53.5.6
0.0.0-20260126094835-d5d10dd41b0c0.0.1

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-25992 के लिए प्राथमिक शमन उपाय SiYuan Kernel को संस्करण 3.5.5 में अपडेट करना है। यदि अपग्रेड तुरंत संभव नहीं है, तो फ़ाइल सिस्टम तक पहुंच को सीमित करने के लिए फ़ायरवॉल नियमों को लागू करने पर विचार करें। फ़ाइल सिस्टम तक पहुंच को सीमित करने के लिए SiYuan के कॉन्फ़िगरेशन को भी कड़ा किया जा सकता है। किसी भी असामान्य फ़ाइल एक्सेस गतिविधि की निगरानी करें और संदिग्ध गतिविधि के लिए अलर्ट सेट करें। SiYuan के नवीनतम सुरक्षा अपडेट के बारे में जानकारी के लिए SiYuan की आधिकारिक वेबसाइट की जाँच करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice SiYuan a la versión 3.5.5 o posterior. Esta versión corrige la vulnerabilidad de omisión de la validación de acceso a archivos sensibles debido a la distinción entre mayúsculas y minúsculas en los sistemas de archivos.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-25992 — पथ ट्रैवर्सल SiYuan Kernel में क्या है?

CVE-2026-25992 SiYuan Kernel में एक भेद्यता है जो हमलावरों को संवेदनशील फ़ाइलों तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है।

क्या मैं CVE-2026-25992 से SiYuan Kernel में प्रभावित हूँ?

यदि आप SiYuan Kernel के 3.5.0 से 3.5.4 तक के संस्करणों का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2026-25992 से SiYuan Kernel को कैसे ठीक करूँ?

CVE-2026-25992 को ठीक करने के लिए, SiYuan Kernel को संस्करण 3.5.5 में अपडेट करें।

क्या CVE-2026-25992 सक्रिय रूप से शोषण किया जा रहा है?

वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन इसका शोषण किया जा सकता है।

मैं CVE-2026-25992 के लिए आधिकारिक SiYuan सलाहकार कहाँ पा सकता हूँ?

SiYuan की आधिकारिक वेबसाइट पर CVE-2026-25992 के लिए आधिकारिक सलाहकार की जाँच करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें