CRITICALCVE-2026-30869CVSS 9.3

/export エンドポイントにおける Path Traversal の脆弱性により、SiYuan が任意のファイル読み込みとシークレット漏洩を許す (github.com/siyuan-note/siyuan/kernel)

Q: CVE-2026-30869でSiYuan Kernelを使用していますか？

SiYuan Kernelのバージョンがv3.5.10以前の場合、影響を受けます。v3.5.10以降にアップデートしてください。

Q: CVE-2026-30869でSiYuan Kernelを修正するにはどうすればよいですか？

SiYuan Kernelをv3.5.10以降のバージョンにアップデートしてください。

Q: CVE-2026-30869は積極的に悪用されていますか？

現時点では公開PoCは確認されていませんが、悪用される可能性は高いと考えられます。

Q: CVE-2026-30869の公式SiYuanアドバイザリはどこで入手できますか？

公式アドバイザリは、SiYuanのリリースノートまたはGitHubリポジトリで確認してください。

プラットフォーム

コンポーネント

github.com/siyuan-note/siyuan/kernel

修正版

3.5.11

3.5.10

AI Confidence: highNVDEPSS 0.6%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-30869は、SiYuan Kernelの/exportエンドポイントにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はサーバー上の任意のファイルを読み取り、機密情報を漏洩させる可能性があります。影響を受けるバージョンはv3.5.10以前です。2026年3月10日に公開され、v3.5.10へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がSiYuan Kernelの/exportエンドポイントを介して、ファイルシステムの制限を回避し、任意のファイルを読み取ることができることを意味します。攻撃者は、設定ファイル、データベースファイル、または機密情報を含むその他のファイルを読み取る可能性があります。これにより、システムへの完全なアクセス権を取得したり、機密データを盗み出したり、さらなる攻撃を実行するための足がかりを築いたりする可能性があります。特に、SiYuanが機密情報を保存している場合、この脆弱性の影響は甚大です。攻撃者は、この脆弱性を利用して、認証情報を盗み出し、他のシステムへのアクセスを試みる可能性があります。

悪用の状況

この脆弱性は、2026年3月10日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であり、今後悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明です。この脆弱性は、機密情報を扱うSiYuan Kernelを使用しているシステムにとって、重大な脅威となります。

リスク対象者翻訳中…

Organizations and individuals using SiYuan for note-taking, particularly those hosting their own instances or using self-managed deployments, are at risk. Shared hosting environments where multiple users share the same SiYuan instance are particularly vulnerable, as an attacker could potentially access data belonging to other users.

検出手順翻訳中…

• linux / server:

find / -name 'siyuan' -type d -exec grep -i '..\s\+' {}/ -print

• generic web:

curl -I 'http://your-siyuan-server/export/../../../../etc/passwd' # Check for 200 OK response

• wordpress / composer / npm: (Not applicable, as this is a kernel vulnerability) • database (mysql, redis, mongodb, postgresql): (Not applicable) • windows / supply-chain: (Not applicable)

攻撃タイムライン

2026-03-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.58% (69% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響

影響を受けるソフトウェア

コンポーネントgithub.com/siyuan-note/siyuan/kernel

ベンダーosv

影響範囲修正版

< 3.5.10 – < 3.5.103.5.11

—3.5.10

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-03-06
公開日2026-03-10
更新日2026-03-23
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、まずSiYuan Kernelをv3.5.10以降のバージョンにアップデートしてください。アップデートが利用できない場合、/exportエンドポイントへのアクセスを制限するWAF（Web Application Firewall）ルールを実装することを検討してください。また、ファイルシステムのアクセス権を適切に設定し、攻撃者がアクセスできないようにする必要があります。アップデート後、/exportエンドポイントにアクセスを試み、エラーが発生することを確認することで、修正が適用されていることを検証できます。

修正方法

SiYuan をバージョン 3.5.10 以降にアップデートしてください。このバージョンは、/export エンドポイントにおける Path Traversal の脆弱性を修正しています。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-30869 — パス・トラバーサル脆弱性はSiYuan Kernelで何ですか？

CVE-2026-30869は、SiYuan Kernelの/exportエンドポイントにおけるパス・トラバーサル脆弱性であり、攻撃者が任意のファイルを読み取れる可能性があります。

CVE-2026-30869でSiYuan Kernelを使用していますか？