प्लेटफ़ॉर्म
other
घटक
siyuan
में ठीक किया गया
3.6.3
CVE-2026-33670, SiYuan नामक पर्सनल नॉलेज मैनेजमेंट सिस्टम में एक Directory Traversal भेद्यता है। इस भेद्यता के कारण, हमलावर नोटबुक के अंतर्गत सभी दस्तावेजों के फ़ाइल नाम पढ़ सकता है। यह भेद्यता 3.6.2 से पहले के संस्करणों को प्रभावित करती है। संस्करण 3.6.2 में इस समस्या को ठीक कर दिया गया है।
CVE-2026-33670 SiYuan को प्रभावित करता है, एक व्यक्तिगत ज्ञान प्रबंधन प्रणाली, 3.6.2 से पहले के संस्करणों में। भेद्यता /api/file/readDir इंटरफ़ेस में मौजूद है, जिसने एक दुर्भावनापूर्ण हमलावर को नोटबुक के भीतर सभी दस्तावेज़ों को पार करने और उनके नाम प्राप्त करने की अनुमति दी। इससे उन दस्तावेज़ों में निहित संवेदनशील जानकारी का खुलासा हो सकता है, खासकर यदि SiYuan तक पहुंच को ठीक से प्रतिबंधित नहीं किया गया है। भेद्यता की गंभीरता को CVSS पैमाने पर 9.8 के रूप में रेट किया गया है, जो एक महत्वपूर्ण जोखिम का संकेत देता है। सफल शोषण से उपयोगकर्ता डेटा की गोपनीयता से समझौता हो सकता है, जिससे एक हमलावर SiYuan प्रणाली में संग्रहीत व्यक्तिगत, पेशेवर या गोपनीय जानकारी तक पहुंच प्राप्त कर सकता है।
भेद्यता /api/file/readDir इंटरफ़ेस के माध्यम से शोषण की जाती है। एक हमलावर नोटबुक के भीतर फ़ाइल नामों की सूची प्राप्त करने के लिए इस इंटरफ़ेस पर दुर्भावनापूर्ण अनुरोध भेज सकता है। सर्वर-साइड सत्यापन की कमी एक हमलावर को प्रतिबंधों को बायपास करने और जानकारी तक पहुंचने की अनुमति देती है। SiYuan का उपयोग गोपनीय जानकारी संग्रहीत करने के लिए किए जाने वाले वातावरण में शोषण संदर्भ विशेष रूप से चिंताजनक है, क्योंकि फ़ाइल नामों का खुलासा बाद के हमले के लिए मूल्यवान लक्ष्यों की पहचान करना आसान बना सकता है। KEV (कर्नेल एक्सप्लॉइट सत्यापन) की अनुपस्थिति इंगित करती है कि शोषण का कोई सार्वजनिक सत्यापन नहीं है, लेकिन उच्च CVSS स्कोर बताता है कि यह भेद्यता आसानी से शोषण योग्य है।
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान SiYuan को संस्करण 3.6.2 या बाद के संस्करण में अपडेट करना है। यह अपडेट /api/file/readDir इंटरफ़ेस को पैच करता है, जिससे अनधिकृत फ़ाइल नाम एक्सेस को रोका जा सकता है। SiYuan के सभी उपयोगकर्ताओं को शोषण के जोखिम को कम करने के लिए जल्द से जल्द अपने इंस्टॉलेशन को अपडेट करने की पुरजोर सिफारिश की जाती है। इसके अलावा, SiYuan प्रणाली तक पहुंच नीतियों की समीक्षा और मजबूत करना महत्वपूर्ण है, यह सुनिश्चित करना कि केवल अधिकृत उपयोगकर्ताओं के पास संवेदनशील डेटा तक पहुंच हो। संदिग्ध गतिविधि के लिए सिस्टम लॉग की निगरानी भी संभावित शोषण प्रयासों का पता लगाने और जवाब देने में मदद कर सकती है।
Actualice SiYuan a la versión 3.6.2 o superior. Esta versión corrige la vulnerabilidad de recorrido de directorios en el servicio de publicación.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SiYuan एक व्यक्तिगत ज्ञान प्रबंधन प्रणाली है जो उपयोगकर्ताओं को उनके नोट्स और दस्तावेज़ों को व्यवस्थित करने और उन तक पहुंचने की अनुमति देती है।
3.6.2 संस्करण CVE-2026-33670 भेद्यता को ठीक करता है, जो फ़ाइल नामों तक अनधिकृत पहुंच की अनुमति देता है।
अगर आप तुरंत अपडेट नहीं कर सकते हैं, तो SiYuan प्रणाली तक पहुंच को प्रतिबंधित करें और संदिग्ध गतिविधि के लिए लॉग की निगरानी करें।
अगर आप 3.6.2 से पहले का संस्करण उपयोग कर रहे हैं, तो आप इस भेद्यता के प्रति संवेदनशील हैं।
CVSS 9.8 एक महत्वपूर्ण जोखिम का संकेत देता है, जिसका अर्थ है कि भेद्यता का आसानी से शोषण किया जा सकता है और इसका महत्वपूर्ण प्रभाव पड़ सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।