Plataforma
go
Componente
github.com/siyuan-note/siyuan/kernel
Corrigido em
3.1.17
0.0.1
A vulnerabilidade CVE-2024-55658 é uma falha de Path Traversal descoberta no kernel do SiYuan, uma aplicação de anotações. Essa falha permite que um atacante acesse arquivos arbitrários no sistema, potencialmente expondo informações confidenciais. Versões do SiYuan anteriores à 3.1.16 são afetadas. A correção foi lançada na versão 3.1.16.
Um atacante pode explorar essa vulnerabilidade enviando requisições maliciosas para o endpoint /api/export/exportResources. Ao manipular os parâmetros da requisição, o atacante pode contornar as verificações de segurança e acessar arquivos fora do diretório pretendido. Isso pode resultar na leitura de arquivos de configuração, código-fonte, dados do usuário ou outros arquivos sensíveis armazenados no sistema. O impacto potencial é a exposição de informações confidenciais, comprometimento da integridade do sistema e, em alguns casos, a execução de código malicioso se arquivos executáveis forem acessados e modificados.
A vulnerabilidade foi divulgada em 2024-12-12. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
Users of SiYuan who are running versions prior to 3.1.16 are at risk. This includes individuals using SiYuan for personal note-taking, as well as organizations deploying SiYuan for team collaboration or knowledge management. Shared hosting environments where SiYuan is installed are particularly vulnerable, as a compromise of one user's instance could potentially expose files belonging to other users on the same server.
• linux / server: Monitor access logs for requests to /api/export/exportResources containing path traversal sequences (e.g., ../, ../../).
grep '/api/export/exportResources.*../' /var/log/nginx/access.log• generic web: Use curl to test the endpoint with various path traversal payloads.
curl 'http://<siyuan_server>/api/export/exportResources?file=../../../../etc/passwd'• go: Examine the SiYuan Kernel source code for the /api/export/exportResources function and related file handling logic to identify potential vulnerabilities or insecure coding practices.
disclosure
Status do Exploit
EPSS
0.65% (percentil 71%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-55658 é atualizar o SiYuan para a versão 3.1.16 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao endpoint /api/export/exportResources através de um firewall ou proxy reverso. Implementar regras de WAF (Web Application Firewall) para bloquear requisições com padrões de Path Traversal também pode ajudar. Monitore os logs do servidor em busca de tentativas de acesso a arquivos não autorizados.
Actualice SiYuan a la versión 3.1.16 o superior. Esta versión contiene una corrección para la vulnerabilidad de lectura arbitraria de archivos y path traversal. La actualización evitará que atacantes accedan a archivos sensibles en su sistema.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-55658 is a Path Traversal vulnerability in SiYuan Kernel allowing attackers to read arbitrary files via the /api/export/exportResources endpoint. It's rated HIGH severity.
Yes, if you are using SiYuan Kernel versions prior to 3.1.16, you are affected by this vulnerability and should upgrade immediately.
Upgrade SiYuan Kernel to version 3.1.16 or later. As a temporary workaround, implement a WAF rule to block suspicious path traversal requests.
There is currently no confirmed evidence of active exploitation, but the ease of exploitation suggests it's a potential risk.
Refer to the SiYuan GitHub repository and release notes for the latest security advisories and updates: https://github.com/siyuan-note/siyuan
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.