Platform
go
Component
github.com/siyuan-note/siyuan/kernel
Opgelost in
0.0.1
0.0.1
CVE-2025-67488 beschrijft een Remote Code Execution (RCE) kwetsbaarheid in de kernel van SiYuan, een open-source notitie-applicatie. Deze kwetsbaarheid, veroorzaakt door een ZipSlip probleem, stelt een aanvaller in staat om willekeurige bestanden op het systeem te overschrijven, wat kan leiden tot volledige controle over het systeem. De kwetsbaarheid treft versies van SiYuan eerder dan 3.5.0. Een patch is beschikbaar in versie 3.5.0.
De ZipSlip kwetsbaarheid ontstaat wanneer een applicatie een gecomprimeerd archief (zoals een ZIP-bestand) uitpakt en niet correct controleert of de bestandsnamen binnen het archief de padstructuur manipuleren. In dit geval kan een kwaadwillende ZIP-file worden gecreëerd die, wanneer uitgepakt door SiYuan, bestanden naar willekeurige locaties op het systeem schrijft, inclusief uitvoerbare bestanden. Dit stelt een aanvaller in staat om schadelijke code uit te voeren met de privileges van de SiYuan-proces. De impact is significant, aangezien een succesvolle exploit volledige systeemcompromittering kan veroorzaken. Dit patroon is vergelijkbaar met eerdere ZipSlip kwetsbaarheden die in andere applicaties zijn aangetroffen, en benadrukt het belang van veilige bestandspadvalidatie bij het uitpakken van archieven.
Op het moment van publicatie is er geen informatie beschikbaar over actieve exploitatie van CVE-2025-67488. Er zijn ook geen publieke Proof-of-Concept (PoC) exploits beschikbaar. De kwetsbaarheid is toegevoegd aan de CISA KEV catalogus, wat duidt op een potentieel risico, maar de exacte EPSS score is momenteel onbekend. De publicatiedatum van de CVE is 2025-12-15, wat suggereert dat de kwetsbaarheid recent is ontdekt.
Organizations and individuals using SiYuan for note-taking, knowledge management, or any application where sensitive data is stored are at risk. This includes users who rely on SiYuan for collaborative work or data sharing, as a compromised instance could expose sensitive information to unauthorized parties. Users with older, unpatched SiYuan installations are particularly vulnerable.
• linux / server:
find /opt/siyuan/ -type f -name '*.zip' -print0 | xargs -0 grep -i '\\..' # Check for double backslashes in ZIP files• go / supply-chain:
Inspect SiYuan's Go dependencies for known vulnerabilities using go mod tidy and go vet.
• generic web:
Monitor web server access logs for requests containing ZIP files with unusual or deeply nested directory structures.
• linux / server:
journalctl -u siyuan -g "zip extraction" # Look for errors related to zip extractiondisclosure
patch
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-67488 is het upgraden van SiYuan naar versie 3.5.0 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de locaties waar SiYuan ZIP-bestanden kan uitpakken. Dit kan worden bereikt door de applicatie te configureren om alleen ZIP-bestanden uit te pakken in een specifieke, gecontroleerde map. Het implementeren van een Web Application Firewall (WAF) die ZIP-bestanden scant op verdachte bestandsnamen en padmanipulaties kan ook helpen. Voor detectie kunnen signaturen worden ontwikkeld om ongebruikelijke bestandspaden tijdens het uitpakken te identificeren.
Actualice SiYuan a la versión 3.5.0 o superior. Esta versión corrige la vulnerabilidad ZipSlip que permite la sobreescritura arbitraria de archivos. La actualización previene la posible ejecución remota de código.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-67488 is a Remote Code Execution vulnerability in the SiYuan kernel, allowing attackers to overwrite files and potentially gain control of the system.
You are affected if you are using SiYuan versions prior to 3.5.0. Upgrade immediately to mitigate the risk.
Upgrade SiYuan to version 3.5.0 or later. If immediate upgrade is not possible, implement stricter input validation on ZIP files.
As of the publication date, there is no confirmed active exploitation, but the vulnerability class is well-understood and PoC development is likely.
Refer to the official SiYuan project website and GitHub repository for the latest security advisories and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.