Plataforma
go
Componente
github.com/siyuan-note/siyuan/kernel
Corrigido em
3.5.5
0.0.0-20260118092326-b2274baba2e1
A vulnerabilidade CVE-2026-23850 representa uma falha de SSRF (Server-Side Request Forgery) no kernel do SiYuan, um aplicativo de anotações. Essa falha permite que um atacante realize requisições para recursos internos, potencialmente expondo dados sensíveis ou permitindo a leitura arbitrária de arquivos. A vulnerabilidade afeta versões anteriores a 0.0.0-20260118092326-b2274baba2e1, e a correção já foi disponibilizada.
Um atacante explorando essa vulnerabilidade pode realizar requisições para qualquer URL que o servidor SiYuan possa acessar, incluindo recursos internos que normalmente não seriam acessíveis externamente. Isso pode levar à leitura de arquivos confidenciais, como arquivos de configuração, chaves de API ou dados de usuários. Em cenários mais graves, a SSRF pode ser utilizada para realizar ataques de escalada de privilégios ou para comprometer outros sistemas na rede interna. A exploração bem-sucedida pode resultar em exposição de dados sensíveis, interrupção do serviço e comprometimento da integridade do sistema.
A vulnerabilidade foi divulgada em 2026-02-03. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV. A ausência de um PoC público não significa que a vulnerabilidade não possa ser explorada, especialmente por atacantes com conhecimento técnico. A avaliação de risco deve considerar a exposição do SiYuan à internet e a sensibilidade dos dados armazenados.
Organizations and individuals using SiYuan for note-taking and knowledge management are at risk, particularly those running self-hosted instances or deployments where the SiYuan Kernel is exposed to external networks. Shared hosting environments where multiple users share the same SiYuan instance are also at increased risk.
• go / server: Examine application logs for unusual outbound HTTP requests, particularly those originating from internal IP addresses or using unusual protocols. Use netstat or ss to monitor connections and identify suspicious activity.
ss -t tcp -4 -n | grep <internal_ip_address>• generic web: Monitor access logs for requests to internal resources or unusual file paths. Check response headers for signs of SSRF exploitation.
grep "/internal/path" /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.09% (percentil 25%)
CISA SSVC
A mitigação primária para CVE-2026-23850 é a atualização imediata para a versão 0.0.0-20260118092326-b2274baba2e1 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso de rede do servidor SiYuan, utilizando firewalls para bloquear requisições para URLs externas não confiáveis. Monitore os logs do servidor em busca de atividades suspeitas, como requisições para URLs inesperadas. Após a atualização, verifique se a vulnerabilidade foi corrigida tentando acessar um recurso interno através do servidor e confirme que a requisição é bloqueada ou redirecionada.
Actualice SiYuan a la versión 3.5.4 o posterior. Esta versión corrige la vulnerabilidad de lectura arbitraria de archivos (LFD) causada por el renderizado HTML del lado del servidor sin restricciones en la función markdown. La actualización previene el acceso no autorizado a archivos sensibles en el sistema.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-23850 is a Server-Side Request Forgery (SSRF) vulnerability in the SiYuan Kernel, allowing attackers to potentially read arbitrary files on the server. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using SiYuan Kernel versions prior to 0.0.0-20260118092326-b2274baba2e1. Upgrade to the patched version to mitigate the risk.
Upgrade SiYuan Kernel to version 0.0.0-20260118092326-b2274baba2e1 or later. Implement input validation and consider using a WAF as temporary protection.
There is currently no indication of active exploitation campaigns, but the SSRF nature of the vulnerability makes it a potential target.
Refer to the official SiYuan project website or GitHub repository for the latest security advisories and updates related to CVE-2026-23850.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.