HIGHCVE-2024-55658CVSS 7.5

SiYuanにおいて、/api/export/exportResourcesを介した任意のファイル読み込みとパストラバーサル脆弱性が存在する (github.com/siyuan-note/siyuan/kernel)

Q: CVE-2024-55658 — パストラバーサル脆弱性はSiYuan Kernelで発生していますか？

はい、CVE-2024-55658は、SiYuan Kernelの/api/export/exportResourcesエンドポイントにおけるパストラバーサル脆弱性です。攻撃者はこの脆弱性を悪用して、システム上の任意のファイルを読み出す可能性があります。

Q: CVE-2024-55658で影響を受けるSiYuan Kernelのバージョンはありますか？

現時点では、影響を受ける特定のバージョンは特定されていません。しかし、SiYuan Kernelの3.1.16以降にアップデートすることで修正されています。

Q: CVE-2024-55658を修正するにはどうすればよいですか？

SiYuan Kernelを3.1.16以降のバージョンにアップデートしてください。アップデートが困難な場合は、WAFルールやプロキシ設定で/api/export/exportResourcesへのアクセスを制限することを検討してください。

Q: CVE-2024-55658に関する公式のSiYuanアドバイザリはどこで入手できますか？

公式アドバイザリは、SiYuanの公式ウェブサイトまたはGitHubリポジトリで確認できます。

プラットフォーム

コンポーネント

github.com/siyuan-note/siyuan/kernel

修正版

3.1.17

0.0.1

AI Confidence: highNVDEPSS 0.6%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-55658は、SiYuan Kernelの/api/export/exportResourcesエンドポイントにおけるパストラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はシステム上の任意のファイルを読み出すことが可能となり、機密情報の漏洩につながる可能性があります。影響を受けるバージョンは特定されていませんが、SiYuan Kernelの3.1.16以降にアップデートすることで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がSiYuanアプリケーションのコンテキストで、システム上の任意のファイルにアクセスすることを可能にします。例えば、設定ファイル、データベースファイル、またはユーザーのノートデータなど、機密情報を含むファイルを読み出す可能性があります。攻撃者は、この脆弱性を利用して、システム内の他のサービスへのアクセス権を取得したり、さらなる攻撃を仕掛けたりする可能性があります。この脆弱性は、特にファイル共有やクラウドストレージ環境でSiYuanを使用している場合に、深刻な影響を及ぼす可能性があります。

悪用の状況

この脆弱性は、2024年12月12日に公開されました。現時点では、公開されているPoCは確認されていませんが、パストラバーサル脆弱性であるため、悪用される可能性は否定できません。CISA KEVリストへの登録状況は不明です。攻撃者は、この脆弱性を利用して、機密情報を盗み出したり、システムを乗っ取ったりする可能性があります。

リスク対象者翻訳中…

Users of SiYuan who are running versions prior to 3.1.16 are at risk. This includes individuals using SiYuan for personal note-taking, as well as organizations deploying SiYuan for team collaboration or knowledge management. Shared hosting environments where SiYuan is installed are particularly vulnerable, as a compromise of one user's instance could potentially expose files belonging to other users on the same server.

検出手順翻訳中…

• linux / server: Monitor access logs for requests to /api/export/exportResources containing path traversal sequences (e.g., ../, ../../).

grep '/api/export/exportResources.*../' /var/log/nginx/access.log

• generic web: Use curl to test the endpoint with various path traversal payloads.

curl 'http://<siyuan_server>/api/export/exportResources?file=../../../../etc/passwd'

• go: Examine the SiYuan Kernel source code for the /api/export/exportResources function and related file handling logic to identify potential vulnerabilities or insecure coding practices.

攻撃タイムライン

2024-12-12Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.65% (71% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgithub.com/siyuan-note/siyuan/kernel

ベンダーosv

影響範囲修正版

< 3.1.16 – < 3.1.163.1.17

0.0.0-20241210012039-5129ad926a210.0.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-12-10
公開日2024-12-12
更新日2026-03-03
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、まずSiYuan Kernelを3.1.16以降のバージョンにアップデートすることを推奨します。アップデートが困難な場合は、/api/export/exportResourcesエンドポイントへのアクセスを制限するWAFルールやプロキシ設定を検討してください。また、ファイルアクセス権限を厳格に管理し、不要なファイルの読み取りアクセスを制限することも有効です。攻撃の兆候を早期に検知するために、ファイルアクセスログを監視し、異常なアクセスパターンを検出するアラートを設定することも重要です。

修正方法翻訳中…

Actualice SiYuan a la versión 3.1.16 o superior. Esta versión contiene una corrección para la vulnerabilidad de lectura arbitraria de archivos y path traversal. La actualización evitará que atacantes accedan a archivos sensibles en su sistema.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-55658 — パストラバーサル脆弱性はSiYuan Kernelで発生していますか？