Plataforma
go
Componente
github.com/siyuan-note/siyuan/kernel
Corrigido em
3.6.3
0.0.1
A vulnerabilidade CVE-2026-33669 no SiYuan permite a leitura do conteúdo de documentos através da interface /api/block/getChildBlocks. Isso ocorre devido à forma como os IDs dos documentos são recuperados. As versões afetadas são as anteriores a 3.6.2. A falha permite que um atacante visualize o conteúdo de todos os documentos. A correção está disponível na versão 3.6.2.
A vulnerabilidade CVE-2026-33669 no SiYuan permite que um atacante com acesso de leitura a documentos leia o conteúdo de todos os documentos no sistema. Isso é alcançado explorando a forma como a API /api/file/readDir recupera IDs de documentos e, em seguida, a API /api/block/getChildBlocks é usada para acessar o conteúdo desses documentos. A falta de validação adequada na API /api/block/getChildBlocks permite que um atacante, uma vez que conheça um ID de documento, acesse todos os seus blocos de conteúdo, revelando informações confidenciais que podem estar armazenadas nos documentos. O impacto é significativo, especialmente em ambientes onde o SiYuan é usado para armazenar informações confidenciais.
Um atacante pode explorar esta vulnerabilidade se tiver acesso de leitura aos documentos no SiYuan. Isso pode ser através de uma conta de usuário legítima com permissões de leitura, ou através de uma vulnerabilidade em outro componente do sistema que permita obter acesso à rede onde o SiYuan é executado. Uma vez que o atacante tenha acesso a um ID de documento, ele pode usar a API /api/block/getChildBlocks para ler todo o conteúdo do documento, incluindo informações confidenciais, como senhas, dados pessoais ou informações comerciais confidenciais. A facilidade de exploração torna esta vulnerabilidade particularmente preocupante.
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
A principal mitigação para CVE-2026-33669 é atualizar o SiYuan para a versão 3.6.2 ou superior. Esta versão inclui uma correção que valida adequadamente as solicitações para a API /api/block/getChildBlocks, impedindo o acesso não autorizado ao conteúdo do documento. Além disso, recomenda-se revisar as permissões de acesso aos documentos no SiYuan para garantir que apenas usuários autorizados tenham acesso a informações confidenciais. Monitorar os logs do sistema em busca de atividades suspeitas relacionadas às APIs /api/file/readDir e /api/block/getChildBlocks também pode ajudar a detectar e responder a possíveis ataques.
Atualize o SiYuan para a versão 3.6.2 ou posterior. Esta versão corrige a vulnerabilidade que permite a leitura arbitrária de documentos dentro do serviço de publicação.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
SiYuan é um aplicativo de anotações e gerenciamento de conhecimento de código aberto.
Se um atacante puder acessar os documentos, ele poderá ler seu conteúdo, comprometendo a confidencialidade das informações armazenadas.
Se a atualização não for possível imediatamente, restrinja o acesso ao SiYuan e monitore os logs do sistema em busca de atividades suspeitas.
É importante manter-se atualizado com as últimas atualizações de segurança do SiYuan e revisar os alertas de segurança para conhecer quaisquer outras vulnerabilidades conhecidas.
Se você estiver usando uma versão anterior à 3.6.2, você é vulnerável. Verifique a versão do SiYuan que você está usando.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.