SiYuanは、個人の知識管理システムです。CVE-2026-33670は、SiYuanの3.6.2より前のバージョンに存在するディレクトリトラバーサルの脆弱性です。この脆弱性により、攻撃者は/api/file/readDirインターフェースを悪用して、ノートブック下のすべてのドキュメントのファイル名を取得できる可能性があります。バージョン3.6.2でこの問題は修正されました。
CVE-2026-33670 は、3.6.2 より前のバージョンの SiYuan、個人知識管理システムに影響を与えます。この脆弱性は、/api/file/readDir インターフェースに存在し、悪意のある攻撃者がノートブック内のすべてのドキュメントを列挙し、その名前を取得することを可能にしました。これにより、これらのドキュメントに含まれる機密情報が公開される可能性があり、特に SiYuan へのアクセスが適切に制限されていない場合に問題となります。この脆弱性の深刻度は CVSS スケールで 9.8 と評価されており、重大なリスクを示しています。攻撃が成功すると、ユーザーデータの機密性が損なわれ、攻撃者が SiYuan システムに保存されている個人情報、専門情報、または機密情報にアクセスできるようになる可能性があります。
この脆弱性は、/api/file/readDir インターフェースを介して悪用されます。攻撃者は、このインターフェースに悪意のあるリクエストを送信して、ノートブック内のファイル名のリストを取得する可能性があります。サーバー側の適切な検証がないため、攻撃者は制限を回避して情報にアクセスできます。SiYuan が機密情報を保存するために使用される環境では、ファイル名の公開により、後続の攻撃のための貴重なターゲットを特定しやすくなるため、悪用の状況は特に懸念されます。KEV (Kernel Exploit Verification) が存在しないことは、エクスプロイトの公開検証がないことを示していますが、高い CVSS スコアは、この脆弱性が簡単に悪用できることを示唆しています。
エクスプロイト状況
EPSS
0.06% (18% パーセンタイル)
CISA SSVC
この脆弱性への対策は、SiYuan をバージョン 3.6.2 以降に更新することです。この更新により、/api/file/readDir インターフェースが修正され、ファイル名の不正アクセスが防止されます。SiYuan のすべてのユーザーが、攻撃のリスクを軽減するために、できるだけ早くインストールを更新することを強くお勧めします。さらに、SiYuan システムへのアクセスポリシーを見直し、強化して、承認されたユーザーのみが機密データにアクセスできるようにすることが重要です。システムログを監視して疑わしいアクティビティを検出することも、潜在的な攻撃試行を検出および対応するのに役立ちます。
Actualice SiYuan a la versión 3.6.2 o superior. Esta versión corrige la vulnerabilidad de recorrido de directorios en el servicio de publicación.
脆弱性分析と重要アラートをメールでお届けします。
SiYuan は、ユーザーがノートとドキュメントを整理してアクセスできる個人知識管理システムです。
バージョン 3.6.2 は、CVE-2026-33670 脆弱性を修正し、ファイル名の不正アクセスを可能にします。
すぐに更新できない場合は、SiYuan システムへのアクセスを制限し、ログを監視して疑わしいアクティビティがないか確認してください。
3.6.2 より前のバージョンを使用している場合は、この脆弱性に対して脆弱です。
CVSS 9.8 は、脆弱性が簡単に悪用でき、重大な影響を与える可能性があることを示す、重大なリスクを示します。
CVSS ベクトル