HIGHCVE-2024-55659CVSS 7.5

SiYuanにおいて、github.com/siyuan-note/siyuan/kernelの/api/asset/upload経由でホストへの任意のファイル書き込みの脆弱性が存在する

Q: CVE-2024-55659 — 任意ファイルアクセス in SiYuanとは何ですか？

CVE-2024-55659は、SiYuanの/api/asset/uploadエンドポイントにおける任意ファイル書き込みの脆弱性です。攻撃者はこの脆弱性を悪用して、ホスト上で任意のファイルを書き込む可能性があります。

Q: CVE-2024-55659 in SiYuanに影響を受けますか？

SiYuanのバージョン3.1.16より前のバージョンを使用している場合は、影響を受ける可能性があります。最新バージョンへのアップデートを推奨します。

Q: CVE-2024-55659 in SiYuanを修正するにはどうすればよいですか？

SiYuanをバージョン3.1.16にアップデートしてください。アップデートが困難な場合は、WAFルールを実装するなど、緩和策を検討してください。

Q: CVE-2024-55659に関するSiYuanの公式アドバイザリはどこで入手できますか？

SiYuanの公式アドバイザリは、公式ウェブサイトまたはGitHubリポジトリで確認できます。

プラットフォーム

コンポーネント

github.com/siyuan-note/siyuan/kernel

修正版

3.1.17

0.0.1

AI Confidence: highNVDEPSS 0.5%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-55659は、SiYuanのkernelコンポーネントにおける任意ファイル書き込みの脆弱性です。この脆弱性を悪用されると、攻撃者はホスト上で任意のファイルを書き込み、システムへの影響を及ぼす可能性があります。影響を受けるバージョンは特定されていませんが、SiYuanのバージョン3.1.16で修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がSiYuanの/api/asset/uploadエンドポイントを介してホスト上で任意のファイルを書き込めることを意味します。これにより、機密情報の窃取、システムの改ざん、さらにはリモートコード実行につながる可能性があります。攻撃者は、アップロード可能なファイルの種類を悪用し、悪意のあるコードをシステムに注入する可能性があります。この脆弱性は、特にSiYuanをインターネットに公開している環境において、深刻なリスクをもたらします。

悪用の状況

この脆弱性は2024年12月12日に公開されました。現時点では、公開されているPoCは確認されていませんが、任意ファイル書き込みの脆弱性は悪用される可能性が高いため、注意が必要です。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Organizations and individuals using SiYuan for knowledge management, particularly those running versions prior to 3.1.16, are at risk. This includes teams relying on SiYuan for internal documentation, research, or collaboration. Shared hosting environments where SiYuan is deployed could be particularly vulnerable, as a compromised instance could potentially impact other tenants.

検出手順翻訳中…

• go / server:

find /var/log -name "siyuan.log*" -print0 | xargs -0 grep -i "/api/asset/upload"

• generic web:

curl -I <siyuan_url>/api/asset/upload | grep -i 'content-type'

• linux / server:

journalctl -u siyuan -f | grep -i "/api/asset/upload"

攻撃タイムライン

2024-12-12Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.53% (67% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントgithub.com/siyuan-note/siyuan/kernel

ベンダーosv

影響範囲修正版

< 3.1.16 – < 3.1.163.1.17

0.0.0-20241210012039-5129ad926a210.0.1

弱点分類 (CWE)

CWE-22 CWE-79

タイムライン

予約済み2024-12-10
公開日2024-12-12
更新日2026-03-03
EPSS 更新日2026-04-02

緩和策と回避策

SiYuanのバージョン3.1.16へのアップデートが推奨されます。アップデートが困難な場合は、/api/asset/uploadエンドポイントへのアクセスを制限するWAFルールを実装することを検討してください。また、アップロード可能なファイルの種類を厳格に制限し、アップロードされたファイルの整合性を検証する仕組みを導入することで、リスクを軽減できます。アップグレード後、ファイルの書き込み権限が適切に設定されていることを確認してください。

修正方法翻訳中…

Actualice SiYuan a la versión 3.1.16 o posterior. Esta versión contiene una corrección para la vulnerabilidad de escritura arbitraria de archivos y XSS almacenado. La actualización se puede realizar a través de la interfaz de administración de SiYuan o descargando la última versión del sitio web oficial.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-55659 — 任意ファイルアクセス in SiYuanとは何ですか？