प्लेटफ़ॉर्म
go
घटक
github.com/siyuan-note/siyuan/kernel
में ठीक किया गया
3.6.3
0.0.1
CVE-2026-33669, SiYuan Kernel में एक दस्तावेज़ प्रकटीकरण भेद्यता है। इस भेद्यता का फायदा उठाकर, हमलावर सभी दस्तावेज़ों की सामग्री को देख सकते हैं। यह भेद्यता ≤0.0.0-20260317012524-fe4523fff2c8 संस्करणों को प्रभावित करती है और संस्करण 3.6.2 में ठीक कर दी गई है।
SiYuan में CVE-2026-33669 भेद्यता एक हमलावर को दस्तावेज़ों तक पढ़ने की पहुंच के साथ सिस्टम में सभी दस्तावेज़ों की सामग्री पढ़ने की अनुमति देती है। यह /api/file/readDir API द्वारा दस्तावेज़ ID प्राप्त करने के तरीके का लाभ उठाकर और फिर /api/block/getChildBlocks API का उपयोग करके इन दस्तावेज़ों की सामग्री तक पहुंचने से प्राप्त होता है। /api/block/getChildBlocks API में उचित सत्यापन की कमी एक हमलावर को दस्तावेज़ ID जानने के बाद उसके सभी सामग्री ब्लॉकों तक पहुंचने की अनुमति देती है, जिससे दस्तावेज़ों में संग्रहीत संभावित संवेदनशील जानकारी का खुलासा होता है। प्रभाव महत्वपूर्ण है, खासकर उन वातावरणों में जहां SiYuan का उपयोग गोपनीय जानकारी संग्रहीत करने के लिए किया जाता है।
यदि किसी हमलावर के पास SiYuan में दस्तावेज़ों तक पढ़ने की पहुंच है, तो वह इस भेद्यता का फायदा उठा सकता है। यह या तो पढ़ने की अनुमति वाले वैध उपयोगकर्ता खाते के माध्यम से या सिस्टम के किसी अन्य घटक में भेद्यता के माध्यम से हो सकता है जो SiYuan के चलने वाले नेटवर्क तक पहुंच की अनुमति देता है। एक बार हमलावर के पास दस्तावेज़ ID होने के बाद, वह /api/block/getChildBlocks API का उपयोग करके दस्तावेज़ की सभी सामग्री को पढ़ सकता है, जिसमें पासवर्ड, व्यक्तिगत डेटा या गोपनीय व्यावसायिक जानकारी जैसी संवेदनशील जानकारी शामिल है। शोषण में आसानी इस भेद्यता को विशेष रूप से चिंताजनक बनाती है।
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33669 के लिए प्राथमिक शमन SiYuan को संस्करण 3.6.2 या उच्चतर में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो /api/block/getChildBlocks API के लिए अनुरोधों को उचित रूप से मान्य करता है, जिससे दस्तावेज़ सामग्री तक अनधिकृत पहुंच को रोका जा सकता है। इसके अतिरिक्त, संवेदनशील जानकारी तक पहुंच को केवल अधिकृत उपयोगकर्ताओं तक सीमित करने के लिए SiYuan में दस्तावेज़ एक्सेस अनुमतियों की समीक्षा करने की सिफारिश की जाती है। /api/file/readDir और /api/block/getChildBlocks API से संबंधित सिस्टम लॉग में संदिग्ध गतिविधि की निगरानी संभावित हमलों का पता लगाने और उनका जवाब देने में भी मदद कर सकती है।
SiYuan को संस्करण 3.6.2 या बाद के संस्करण में अपडेट करें। यह संस्करण प्रकाशन सेवा के भीतर दस्तावेज़ों के मनमाना पठन की अनुमति देने वाले भेद्यता को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SiYuan एक ओपन-सोर्स नोट लेने और ज्ञान प्रबंधन एप्लिकेशन है।
यदि कोई हमलावर दस्तावेज़ों तक पहुंच प्राप्त कर सकता है, तो वह उनकी सामग्री पढ़ सकता है, जिससे संग्रहीत जानकारी की गोपनीयता से समझौता होता है।
यदि तत्काल अपडेट संभव नहीं है, तो SiYuan तक पहुंच को प्रतिबंधित करें और सिस्टम लॉग में संदिग्ध गतिविधि की निगरानी करें।
SiYuan के लिए नवीनतम सुरक्षा अपडेट के साथ बने रहना और किसी भी अन्य ज्ञात भेद्यताओं के लिए सुरक्षा अलर्ट की समीक्षा करना महत्वपूर्ण है।
यदि आप 3.6.2 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप भेद्य हैं। आप जिस SiYuan संस्करण का उपयोग कर रहे हैं, उसकी जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।