Platform
go
Component
github.com/siyuan-note/siyuan/kernel
Opgelost in
3.6.3
0.0.1
CVE-2026-33669 is een kritieke kwetsbaarheid in de SiYuan Kernel. Het stelt aanvallers in staat om ongeautoriseerd documentinhoud te lezen via de /api/block/getChildBlocks interface, na het ophalen van document-ID's via /api/file/readDir. Dit kan leiden tot de blootstelling van gevoelige informatie. De kwetsbaarheid treft SiYuan Kernel versies tot en met 0.0.0-20260317012524-fe4523fff2c8. Een fix is beschikbaar in versie 3.6.2.
CVE-2026-33669 in SiYuan stelt een aanvaller met leesrechten op documenten in staat om de inhoud van alle documenten binnen het systeem te lezen. Dit wordt bereikt door te exploiteren hoe de /api/file/readDir API document-ID's ophaalt en vervolgens de /api/block/getChildBlocks API wordt gebruikt om toegang te krijgen tot de inhoud van die documenten. Het ontbreken van de juiste validatie in de /api/block/getChildBlocks API stelt een aanvaller in staat, zodra ze een document-ID kennen, toegang te krijgen tot alle inhoudsblokken en gevoelige informatie vrij te geven die mogelijk in de documenten is opgeslagen. De impact is aanzienlijk, vooral in omgevingen waar SiYuan wordt gebruikt om vertrouwelijke informatie op te slaan.
Een aanvaller kan deze kwetsbaarheid exploiteren als ze leesrechten hebben op documenten in SiYuan. Dit kan via een legitieme gebruikersaccount met leesrechten of via een kwetsbaarheid in een andere component van het systeem die toegang tot het netwerk mogelijk maakt waar SiYuan wordt uitgevoerd. Zodra de aanvaller toegang heeft tot een document-ID, kan hij de /api/block/getChildBlocks API gebruiken om de volledige inhoud van het document te lezen, inclusief gevoelige informatie zoals wachtwoorden, persoonlijke gegevens of vertrouwelijk zakelijk informatie. De eenvoud van exploitatie maakt deze kwetsbaarheid bijzonder zorgwekkend.
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-33669 is het updaten van SiYuan naar versie 3.6.2 of hoger. Deze versie bevat een fix die verzoeken naar de /api/block/getChildBlocks API correct valideert, waardoor ongeautoriseerde toegang tot documentinhoud wordt voorkomen. Daarnaast wordt aanbevolen om de documenttoegangsrechten in SiYuan te controleren om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige informatie. Het monitoren van systeemlogboeken op verdachte activiteiten met betrekking tot de /api/file/readDir en /api/block/getChildBlocks API's kan ook helpen bij het detecteren en reageren op potentiële aanvallen.
Actualice SiYuan a la versión 3.6.2 o posterior. Esta versión corrige la vulnerabilidad que permite la lectura arbitraria de documentos dentro del servicio de publicación.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SiYuan is een open-source notitie- en kennisbeheerapplicatie.
Als een aanvaller toegang krijgt tot de documenten, kan hij hun inhoud lezen, waardoor de vertrouwelijkheid van de opgeslagen informatie in gevaar komt.
Als een update niet onmiddellijk mogelijk is, beperk dan de toegang tot SiYuan en monitor systeemlogboeken op verdachte activiteiten.
Het is belangrijk om op de hoogte te blijven van de nieuwste beveiligingsupdates voor SiYuan en beveiligingsalerts te raadplegen voor eventuele andere bekende kwetsbaarheden.
Als u een versie vóór 3.6.2 gebruikt, bent u kwetsbaar. Controleer de SiYuan-versie die u gebruikt.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.