プラットフォーム
go
コンポーネント
github.com/siyuan-note/siyuan/kernel
修正版
3.6.3
0.0.1
CVE-2026-33669は、SiYuan Kernelに存在する情報漏洩の脆弱性です。この脆弱性を悪用すると、攻撃者は本来アクセスできないドキュメントの内容を閲覧できてしまいます。影響を受けるバージョンは、0.0.0-20260317012524-fe4523fff2c8以下です。この問題はバージョン3.6.2で修正されました。
SiYuanのCVE-2026-33669脆弱性は、ドキュメントへの読み取りアクセス権を持つ攻撃者が、システム内のすべてのドキュメントの内容を読み取ることができることを意味します。これは、/api/file/readDir APIがドキュメントIDを取得する方法を利用し、その後、/api/block/getChildBlocks APIを使用してこれらのドキュメントの内容にアクセスすることで実現されます。/api/block/getChildBlocks APIの適切な検証の欠如により、攻撃者はドキュメントIDを知っている場合、そのすべてのコンテンツブロックにアクセスし、ドキュメントに保存されている可能性のある機密情報を明らかにする可能性があります。影響は大きく、特にSiYuanが機密情報を保存するために使用される環境において懸念されます。
攻撃者は、SiYuan内のドキュメントへの読み取りアクセス権を持っている場合に、この脆弱性を悪用する可能性があります。これは、読み取り権限を持つ正規のユーザーアカウントを介するか、SiYuanが実行されているネットワークへのアクセスを可能にするシステムの別のコンポーネントの脆弱性を介して行われる可能性があります。攻撃者がドキュメントIDにアクセスできると、/api/block/getChildBlocks APIを使用してドキュメントのすべてのコンテンツを読み取ることができ、パスワード、個人データ、または機密のビジネス情報などの機密情報が含まれます。悪用の容易さから、この脆弱性は特に懸念されます。
エクスプロイト状況
EPSS
0.04% (13% パーセンタイル)
CISA SSVC
CVE-2026-33669の主な軽減策は、SiYuanをバージョン3.6.2以降に更新することです。このバージョンには、/api/block/getChildBlocks APIへのリクエストを適切に検証する修正が含まれており、ドキュメントコンテンツへの不正アクセスを防ぎます。さらに、機密情報へのアクセスを許可されているのは承認されたユーザーのみであることを確認するために、SiYuan内のドキュメントアクセス権限を確認することをお勧めします。/api/file/readDirおよび/api/block/getChildBlocks APIに関連する疑わしいアクティビティについてシステムログを監視することも、潜在的な攻撃を検出および対応するのに役立ちます。
Actualice SiYuan a la versión 3.6.2 o posterior. Esta versión corrige la vulnerabilidad que permite la lectura arbitraria de documentos dentro del servicio de publicación.
脆弱性分析と重要アラートをメールでお届けします。
SiYuanは、オープンソースのメモ取りおよび知識管理アプリケーションです。
攻撃者がドキュメントにアクセスできる場合、その内容を読み取ることができ、保存されている情報の機密性が損なわれます。
すぐにアップデートできない場合は、SiYuanへのアクセスを制限し、システムログを疑わしいアクティビティについて監視してください。
SiYuanの最新のセキュリティアップデートを常に把握し、既知の他の脆弱性についてはセキュリティアラートを確認することが重要です。
3.6.2以前のバージョンを使用している場合は、脆弱です。使用しているSiYuanのバージョンを確認してください。
CVSS ベクトル
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。