Platform
go
Component
github.com/siyuan-note/siyuan/kernel
Opgelost in
3.6.3
0.0.1
CVE-2026-33476 beschrijft een Path Traversal kwetsbaarheid in de Siyuan kernel, een essentieel onderdeel van de Siyuan notitie-applicatie. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerd toegang te krijgen tot bestanden op de server. De kwetsbaarheid treedt op in versies van de Siyuan kernel tot en met 0.0.0-20260317012524-fe4523fff2c8. Een upgrade naar versie 3.6.2 is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden te lezen die toegankelijk zijn voor de serverproces. Dit omvat potentieel gevoelige configuratiebestanden, broncode of andere data die op de server is opgeslagen. Omdat de endpoint niet geverifieerd is, kan de exploitatie worden uitgevoerd zonder geldige inloggegevens. De impact kan aanzienlijk zijn, afhankelijk van de gevoeligheid van de bestanden die toegankelijk zijn, en kan leiden tot datalekken of verdere compromittering van het systeem. Dit is vergelijkbaar met kwetsbaarheden waarbij ongeautoriseerde toegang tot bestanden mogelijk is door middel van manipulatie van paden.
Op het moment van publicatie (2026-03-20) is er geen informatie beschikbaar over actieve exploits of KEV-listing. Er zijn geen publieke Proof-of-Concept (PoC) exploits bekend. De kwetsbaarheid is recentelijk openbaar gemaakt, waardoor de kans op exploitatie in de nabije toekomst toeneemt. De CVSS score van 7.5 (HIGH) duidt op een aanzienlijke mate van risico.
Organizations and individuals using Siyuan for note-taking, particularly those running self-hosted instances or deployments with less stringent security controls, are at risk. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as an attacker could potentially access data belonging to other users.
• linux / server:
journalctl -u siyuan | grep -i "path traversal"• generic web:
curl -I http://<siyuan_server>/appearance/../../../../etc/passwd• generic web:
grep -r "/appearance/" /var/log/apache2/access.logDiscovery
Disclosure
Patch
Exploit Status
EPSS
0.73% (72% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33476 is het upgraden van de Siyuan kernel naar versie 3.6.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de /appearance/filepath endpoint via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om alle requests naar dit endpoint te blokkeren, tenzij ze afkomstig zijn van vertrouwde bronnen. Controleer de configuratie van Siyuan om er zeker van te zijn dat de directory waarin de applicatie is geïnstalleerd, niet toegankelijk is voor de openbare internet. Na de upgrade, bevestig de correcte werking door te proberen een bestand buiten de toegestane directory te benaderen via de /appearance/filepath endpoint; dit zou een foutmelding moeten opleveren.
Actualice SiYuan a la versión 3.6.2 o posterior. Esta versión corrige la vulnerabilidad de recorrido de directorios que permite la lectura no autorizada de archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33476 is a Path Traversal vulnerability in the Siyuan Kernel affecting versions prior to 3.6.2. It allows unauthenticated attackers to read arbitrary files on the server.
You are affected if you are using Siyuan Kernel versions prior to 3.6.2. Check your installed version against the affected range.
Upgrade to Siyuan Kernel version 3.6.2 or later. As a temporary workaround, implement a WAF rule to block access to the /appearance/*filepath endpoint.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a high likelihood of scanning and potential exploitation attempts.
Refer to the official Siyuan project website and GitHub repository for the latest security advisories and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.