HIGHCVE-2026-25992CVSS 7.5

SiYuan ファイル読み込みAPIにおける大文字・小文字区別のバイパスにより、github.com/siyuan-note/siyuan/kernelにおいてパス・トラバーサルが発生する可能性がある

Q: CVE-2026-25992 — パス・トラバーサル脆弱性とはSiYuan Kernelで何ですか？

CVE-2026-25992は、SiYuan Kernelのファイル読み込みAPIにおけるケース感度バイパスにより発生するパス・トラバーサル脆弱性です。攻撃者はこの脆弱性を悪用して、ファイルシステム内の機密ファイルにアクセスできる可能性があります。

Q: CVE-2026-25992 — SiYuan Kernelで影響は受けますか？

影響を受けるバージョンは特定されていませんが、SiYuan Kernelを使用している場合は、3.5.5以降にアップデートすることを推奨します。

Q: CVE-2026-25992 — SiYuan Kernelを修正するにはどうすればよいですか？

3.5.5以降のバージョンにアップデートすることで、この脆弱性は解消されます。アップデートが困難な場合は、WAFルールやプロキシ設定によるアクセス制限を検討してください。

Q: CVE-2026-25992に関する公式のSiYuan Kernelのアドバイザリはどこで入手できますか？

公式のアドバイザリは、SiYuan Kernelの公式ウェブサイトまたはGitHubリポジトリで確認できます。

プラットフォーム

コンポーネント

github.com/siyuan-note/siyuan/kernel

修正版

3.5.6

0.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

SiYuan Kernelにおいて、ファイル読み込みAPIのケース感度バイパスにより、パス・トラバーサル脆弱性が存在します。この脆弱性を悪用されると、攻撃者はファイルシステム内の機密ファイルに不正にアクセスできる可能性があります。影響を受けるバージョンは特定されていませんが、3.5.5以降で修正されています。迅速なアップデートを推奨します。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性は、攻撃者がSiYuan Kernelが実行されているサーバー上のファイルシステムを自由に探索することを可能にします。機密情報（ユーザーデータ、設定ファイル、ソースコードなど）が漏洩するリスクがあります。攻撃者は、この脆弱性を利用して、システムへのさらなるアクセス権を取得し、他のシステムへの攻撃の足がかりにすることも考えられます。類似の脆弱性は、ファイルパスの検証不備によって引き起こされることが多く、ファイルアップロード機能やファイルダウンロード機能を持つアプリケーションで特に注意が必要です。

悪用の状況

この脆弱性は2026年2月2日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は悪用が容易なため、早期の悪用が懸念されます。CISA KEVリストへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認してください。

リスク対象者翻訳中…

SiYuan users running versions prior to 3.5.5 are at risk. This includes individuals and organizations using SiYuan for personal note-taking, team collaboration, or knowledge management. Shared hosting environments where SiYuan is installed are particularly vulnerable, as a compromise of one user's instance could potentially impact others.

検出手順翻訳中…

• go / server:

find / -name "siyuan/kernel" -type d -print

• go / server:

ps aux | grep siyuan

• generic web: Inspect access logs for requests containing unusual path traversal sequences (e.g., ../../../../etc/passwd). • generic web: Monitor response headers for unexpected file content types.

攻撃タイムライン

2026-02-02Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.06% (19% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgithub.com/siyuan-note/siyuan/kernel

ベンダーosv

影響範囲修正版

< 3.5.5 – < 3.5.53.5.6

0.0.0-20260126094835-d5d10dd41b0c0.0.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-02-09
公開日2026-02-02
更新日2026-02-10
EPSS 更新日2026-03-23

緩和策と回避策

公式な修正バージョンへのアップデートが最優先の対策です。3.5.5以降のバージョンにアップデートすることで、この脆弱性は解消されます。アップデートが困難な場合は、ファイル読み込みAPIへのアクセスを制限するWAFルールやプロキシ設定を検討してください。また、ファイルパスの検証を厳格化するなどの設定変更も有効です。ファイルシステムへの不正アクセスを検知するために、アクセスログの監視や侵入検知システムの導入も推奨されます。

修正方法翻訳中…

Actualice SiYuan a la versión 3.5.5 o posterior. Esta versión corrige la vulnerabilidad de omisión de la validación de acceso a archivos sensibles debido a la distinción entre mayúsculas y minúsculas en los sistemas de archivos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-25992 — パス・トラバーサル脆弱性とはSiYuan Kernelで何ですか？