HIGHCVE-2026-23851CVSS 7.5

SiYuanにおいて、ファイルコピー機能を通じて任意のファイル読み出しの脆弱性 (Arbitrary File Read) が存在する (github.com/siyuan-note/siyuan/kernel)

Q: CVE-2026-23851 — 任意ファイルアクセス in SiYuanとは何ですか？

CVE-2026-23851は、SiYuanのファイルコピー機能における任意ファイル読み込み脆弱性です。攻撃者はこの脆弱性を悪用して、機密ファイルにアクセスできる可能性があります。

Q: CVE-2026-23851 in SiYuanに影響を受けますか？

影響を受けるバージョンは現時点では特定されていません。SiYuanを使用している場合は、最新バージョンへのアップデートを検討してください。

Q: CVE-2026-23851 in SiYuanを修正するにはどうすればよいですか？

SiYuanを0.0.0-20260118092521-f8f4b517077bにアップデートしてください。

Q: CVE-2026-23851に関する公式SiYuanのアドバイザリはどこで入手できますか？

公式アドバイザリは、SiYuanの公式ウェブサイトまたはGitHubリポジトリで確認してください。

プラットフォーム

コンポーネント

github.com/siyuan-note/siyuan/kernel

修正版

3.5.5

0.0.0-20260118092521-f8f4b517077b

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-23851は、SiYuanのkernelコンポーネント（github.com/siyuan-note/siyuan/kernel）における任意ファイル読み込み脆弱性です。この脆弱性を悪用されると、攻撃者は機密情報にアクセスできる可能性があります。影響を受けるバージョンは現時点では特定されていませんが、0.0.0-20260118092521-f8f4b517077bへのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がSiYuanアプリケーションがアクセスできる任意のファイルに読み込むことを可能にします。攻撃者は、この脆弱性を利用して、設定ファイル、データベースファイル、または他の機密情報を含むファイルにアクセスできる可能性があります。攻撃者は、この情報を利用して、システムをさらに侵害したり、機密情報を盗んだりする可能性があります。この脆弱性は、特にファイル共有環境や、Webアプリケーションとして公開されているSiYuanのデプロイメントにおいて、深刻なリスクをもたらします。攻撃者は、この脆弱性を利用して、サーバー上の他のアプリケーションやデータにアクセスできる可能性があります。

悪用の状況

この脆弱性は2026年2月3日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていません。CISA KEVリストへの登録状況は不明です。攻撃者は、この脆弱性を利用して、機密情報を盗む可能性があります。この脆弱性は、SiYuanのセキュリティを脅かす重大なリスクです。

リスク対象者翻訳中…

Organizations and individuals using SiYuan for note-taking, particularly those storing sensitive information within the application, are at risk. Users running older, unpatched versions of SiYuan are especially vulnerable. Shared hosting environments where multiple users share the same SiYuan instance are also at increased risk.

検出手順翻訳中…

• linux / server: Monitor SiYuan process logs for unusual file access attempts. Use auditd to track file access events and create rules to alert on unauthorized reads.

auditctl -w /path/to/siyuan/data -p wa -k siyuan_file_access

• go: Examine the SiYuan source code for the file copy function and related areas for potential vulnerabilities. Use static analysis tools to identify potential security flaws. • generic web: Monitor web server access logs for requests containing unusual file paths or attempts to access sensitive files via the SiYuan application.

攻撃タイムライン

2026-02-03Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.04% (12% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントgithub.com/siyuan-note/siyuan/kernel

ベンダーosv

影響範囲修正版

< 3.5.4 – < 3.5.43.5.5

—0.0.0-20260118092521-f8f4b517077b

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-01-16
公開日2026-02-03
更新日2026-03-03
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性に対する最も効果的な軽減策は、SiYuanを0.0.0-20260118092521-f8f4b517077bにアップデートすることです。アップデートが利用できない場合は、ファイルコピー機能の使用を制限するか、入力の検証を強化することで、攻撃のリスクを軽減できます。また、Webアプリケーションファイアウォール（WAF）を使用して、悪意のあるリクエストをブロックすることも有効です。アップデート後、ファイルコピー機能が正常に動作することを確認してください。

修正方法翻訳中…

Actualice SiYuan a la versión 3.5.4 o posterior. Esta versión corrige la vulnerabilidad de lectura arbitraria de archivos al validar correctamente las rutas de los archivos copiados.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-23851 — 任意ファイルアクセス in SiYuanとは何ですか？