HIGHCVE-2026-32110CVSS 8.3

SiYuan には、github.com/siyuan-note/siyuan/kernel 内の /api/network/forwardProxy を介した Full-Read SSRF が存在します。

Q: CVE-2026-32110 — SSRF in SiYuan Kernelとは何ですか？

CVE-2026-32110は、SiYuan Kernelの/api/network/forwardProxyエンドポイントにおける完全な読み取りSSRF脆弱性です。攻撃者はこの脆弱性を利用して、内部ネットワークリソースに不正にアクセスする可能性があります。

Q: CVE-2026-32110 in SiYuan Kernelに影響を受けますか？

SiYuan Kernelのバージョンがv3.6.0以前の場合は、影響を受けます。v3.6.0以降のバージョンにアップデートすることで、この脆弱性は修正されます。

Q: CVE-2026-32110 in SiYuan Kernelを修正するにはどうすればよいですか？

SiYuan Kernelをv3.6.0以降のバージョンにアップデートしてください。アップデートがすぐに実行できない場合は、ファイアウォールルールを設定して、/api/network/forwardProxyエンドポイントへの外部からのアクセスを制限することを検討してください。

Q: CVE-2026-32110に関するSiYuanの公式アドバイザリはどこで入手できますか？

SiYuanの公式アドバイザリは、github.com/siyuan-note/siyuan/kernelのリリースノートを参照してください。

プラットフォーム

コンポーネント

github.com/siyuan-note/siyuan/kernel

修正版

3.6.1

3.6.0

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

SiYuan Kernelにおいて、/api/network/forwardProxyエンドポイントにSSRF（Server-Side Request Forgery）の脆弱性が存在します。この脆弱性を悪用されると、攻撃者はSiYuanサーバーを通して内部ネットワーク上のリソースに不正にアクセスし、機密情報を盗み出す可能性があります。影響を受けるバージョンはv3.6.0以前です。現在、v3.6.0へのアップデートで修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がSiYuanサーバーをプロキシとして利用し、本来アクセスできない内部ネットワークリソースにアクセスすることを可能にします。例えば、内部データベース、管理インターフェース、または他の機密情報を含むサービスにアクセスする可能性があります。攻撃者は、この脆弱性を利用して、認証情報を盗み出したり、内部システムを標的にとした攻撃を開始したりする可能性があります。この脆弱性の影響範囲は、SiYuanサーバーがアクセスできる内部ネットワーク全体に及ぶ可能性があります。

悪用の状況

この脆弱性は、2026年3月12日に公開されました。現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。NVDデータベースも参照してください。

リスク対象者翻訳中…

Organizations using SiYuan for note-taking, particularly those with internal services or resources that are not directly exposed to the internet, are at risk. Environments with legacy SiYuan installations or those that have not implemented robust network segmentation are especially vulnerable.

検出手順翻訳中…

• linux / server: Monitor SiYuan application logs for unusual outbound network connections originating from the /api/network/forwardProxy endpoint. Use journalctl -u siyuan to filter for relevant log entries.

journalctl -u siyuan | grep '/api/network/forwardProxy'

• generic web: Use curl to test the /api/network/forwardProxy endpoint with various internal and external URLs to identify potential SSRF behavior.

curl -v 'http://localhost:10000/api/network/forwardProxy?url=http://169.254.169.254/latest/meta-data/'

攻撃タイムライン

2026-03-12Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.04% (14% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgithub.com/siyuan-note/siyuan/kernel

ベンダーosv

影響範囲修正版

< 3.6.0 – < 3.6.03.6.1

—3.6.0

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-03-10
公開日2026-03-12
更新日2026-03-23
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、SiYuan Kernelをv3.6.0以降のバージョンにアップデートすることです。アップデートがすぐに実行できない場合は、ファイアウォールルールを設定して、/api/network/forwardProxyエンドポイントへの外部からのアクセスを制限することを検討してください。また、SiYuanサーバーがアクセスできる内部ネットワークリソースを最小限に抑えることで、攻撃の影響範囲を限定できます。アップデート後、バージョンがv3.6.0であることを確認してください。

修正方法

SiYuan をバージョン 3.6.0 以降にアップデートしてください。このバージョンは、/api/network/forwardProxy エンドポイントにおける SSRF 脆弱性を修正します。アップデートにより、認証されたユーザーがサーバーから任意の HTTP リクエストを実行することを防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-32110 — SSRF in SiYuan Kernelとは何ですか？