プラットフォーム
go
コンポーネント
github.com/siyuan-note/siyuan/kernel
修正版
3.5.5
0.0.0-20260118092326-b2274baba2e1
CVE-2026-23850は、SiYuan KernelにおいてSSRF(Server-Side Request Forgery)脆弱性が確認されています。この脆弱性を悪用されると、攻撃者はサーバーを介して外部リソースへの不正なアクセスを試み、機密情報を窃取したり、システムを制御したりする可能性があります。影響を受けるバージョンは現時点では特定されていませんが、バージョン0.0.0-20260118092326-b2274baba2e1で修正されています。
このSSRF脆弱性は、攻撃者がSiYuan Kernelを実行しているサーバーを介して、本来アクセスできないはずの内部リソースや外部リソースにアクセスすることを可能にします。例えば、内部ネットワーク上の機密情報を含むファイルへのアクセス、クラウドストレージサービスへの不正アクセス、さらには他のシステムへの攻撃の踏み台としての利用が考えられます。攻撃者は、サーバーの認証情報を利用して、攻撃対象のシステムに対して不正な操作を実行する可能性があります。この脆弱性の悪用により、機密情報の漏洩、システム改ざん、サービス停止などの深刻な被害が発生する可能性があります。
CVE-2026-23850は、2026年2月3日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、SSRF脆弱性は一般的に悪用が容易であり、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。
Organizations and individuals using SiYuan for note-taking and knowledge management are at risk, particularly those running self-hosted instances or deployments where the SiYuan Kernel is exposed to external networks. Shared hosting environments where multiple users share the same SiYuan instance are also at increased risk.
• go / server: Examine application logs for unusual outbound HTTP requests, particularly those originating from internal IP addresses or using unusual protocols. Use netstat or ss to monitor connections and identify suspicious activity.
ss -t tcp -4 -n | grep <internal_ip_address>• generic web: Monitor access logs for requests to internal resources or unusual file paths. Check response headers for signs of SSRF exploitation.
grep "/internal/path" /var/log/apache2/access.logdisclosure
エクスプロイト状況
EPSS
0.09% (25% パーセンタイル)
CISA SSVC
バージョン0.0.0-20260118092326-b2274baba2e1へのアップデートが推奨されます。アップデートが困難な場合は、SiYuan Kernelがアクセスできる外部リソースを制限するファイアウォールルールやプロキシ設定を導入することで、攻撃の影響を軽減できます。また、入力値の検証を強化し、SSRF攻撃を検知・防止するWAF(Web Application Firewall)の導入も有効です。SiYuan Kernelのログを監視し、不審なアクセスパターンを検出することも重要です。アップデート後、システムを再起動し、設定が正しく適用されていることを確認してください。
Actualice SiYuan a la versión 3.5.4 o posterior. Esta versión corrige la vulnerabilidad de lectura arbitraria de archivos (LFD) causada por el renderizado HTML del lado del servidor sin restricciones en la función markdown. La actualización previene el acceso no autorizado a archivos sensibles en el sistema.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-23850は、SiYuan Kernelにおいて、攻撃者がサーバーを介して外部リソースに不正にアクセスできるSSRF脆弱性です。
はい、影響を受ける可能性があります。攻撃者は機密情報を窃取したり、システムを制御したりする可能性があります。
バージョン0.0.0-20260118092326-b2274baba2e1へのアップデートが推奨されます。
現時点では、具体的な悪用事例は確認されていませんが、SSRF脆弱性は悪用が容易であり、注意が必要です。
公式のアドバイザリは、SiYuan Kernelの公式ウェブサイトまたはGitHubリポジトリで確認できます。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。