Platform
other
Component
siyuan
Opgelost in
3.6.3
CVE-2026-33670 is een Directory Traversal kwetsbaarheid in SiYuan, een persoonlijk kennismanagementsysteem. Deze kwetsbaarheid maakt het mogelijk om via de /api/file/readDir interface bestanden buiten de bedoelde directory te lezen. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige informatie. De kwetsbaarheid treft SiYuan versies kleiner dan 3.6.2. De kwetsbaarheid is verholpen in versie 3.6.2.
CVE-2026-33670 treft SiYuan, een persoonlijk kennismanagementsysteem, in versies vóór 3.6.2. De kwetsbaarheid ligt in de /api/file/readDir-interface, waardoor een kwaadwillende actor alle documenten binnen een notitieboek kan doorlopen en de namen kan ophalen. Dit kan leiden tot de blootlegging van gevoelige informatie die in die documenten is opgeslagen, vooral als de toegang tot SiYuan niet goed is beperkt. De ernst van de kwetsbaarheid wordt beoordeeld als 9.8 op de CVSS-schaal, wat een kritiek risico aangeeft. Een succesvolle exploitatie kan de vertrouwelijkheid van gebruikersgegevens in gevaar brengen, waardoor een aanvaller toegang krijgt tot persoonlijke, professionele of vertrouwelijke informatie die in het SiYuan-systeem is opgeslagen.
De kwetsbaarheid wordt uitgebuit via de /api/file/readDir-interface. Een aanvaller kan kwaadwillige verzoeken naar deze interface sturen om een lijst met bestandsnamen binnen een notitieboek te verkrijgen. Het ontbreken van de juiste server-side validatie stelt een aanvaller in staat om beperkingen te omzeilen en toegang te krijgen tot de informatie. De context van exploitatie is vooral zorgwekkend in omgevingen waar SiYuan wordt gebruikt om vertrouwelijke informatie op te slaan, aangezien de blootlegging van bestandsnamen het gemakkelijker kan maken om waardevolle doelen te identificeren voor een latere aanval. Het ontbreken van een KEV (Kernel Exploit Verification) geeft aan dat er geen publieke verificatie van de exploitatie is, maar de hoge CVSS-score suggereert dat de kwetsbaarheid gemakkelijk te exploiteren is.
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om SiYuan bij te werken naar versie 3.6.2 of hoger. Deze update corrigeert de /api/file/readDir-interface en voorkomt zo ongeautoriseerde toegang tot bestandsnamen. Het wordt ten zeerste aanbevolen dat alle SiYuan-gebruikers hun installaties zo snel mogelijk bijwerken om het risico op exploitatie te beperken. Bovendien is het belangrijk om de toegangsbeleid tot het SiYuan-systeem te beoordelen en te versterken, zodat alleen geautoriseerde gebruikers toegang hebben tot gevoelige gegevens. Het monitoren van systeemlogboeken op verdachte activiteiten kan ook helpen om potentiële exploitatiepogingen te detecteren en erop te reageren.
Actualice SiYuan a la versión 3.6.2 o superior. Esta versión corrige la vulnerabilidad de recorrido de directorios en el servicio de publicación.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SiYuan is een persoonlijk kennismanagementsysteem waarmee gebruikers hun notities en documenten kunnen organiseren en er toegang toe krijgen.
Versie 3.6.2 corrigeert de CVE-2026-33670-kwetsbaarheid, die ongeautoriseerde toegang tot bestandsnamen mogelijk maakt.
Als u niet onmiddellijk kunt bijwerken, overweeg dan om de toegang tot het SiYuan-systeem te beperken en de logboeken te volgen op verdachte activiteiten.
Als u een versie vóór 3.6.2 gebruikt, bent u kwetsbaar voor deze kwetsbaarheid.
CVSS 9.8 geeft een kritiek risico aan, wat betekent dat de kwetsbaarheid gemakkelijk te exploiteren is en aanzienlijke gevolgen kan hebben.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.