平台
go
组件
github.com/siyuan-note/siyuan/kernel
修复版本
3.1.17
0.0.1
CVE-2024-55658描述了SiYuan内核中存在的路径遍历漏洞。该漏洞允许攻击者通过/api/export/exportResources接口读取服务器上的任意文件,可能导致敏感信息泄露。该漏洞影响SiYuan 3.1.16之前的版本。建议用户尽快升级至3.1.16版本以消除风险。
攻击者可以利用此路径遍历漏洞读取SiYuan服务器上的任意文件,包括配置文件、数据库备份、源代码等。如果服务器上存储了敏感信息,例如用户凭据、API密钥或商业机密,攻击者可能会窃取这些信息。此外,攻击者可能利用此漏洞修改或删除文件,从而破坏SiYuan的正常运行。由于SiYuan通常用于存储个人笔记和文档,因此该漏洞可能导致用户隐私泄露和数据丢失。
目前尚未公开可用的PoC,但该漏洞的严重性较高,存在被利用的风险。该漏洞已于2024年12月12日公开披露。建议密切关注安全社区的动态,及时获取最新的威胁情报。
Users of SiYuan who are running versions prior to 3.1.16 are at risk. This includes individuals using SiYuan for personal note-taking, as well as organizations deploying SiYuan for team collaboration or knowledge management. Shared hosting environments where SiYuan is installed are particularly vulnerable, as a compromise of one user's instance could potentially expose files belonging to other users on the same server.
• linux / server: Monitor access logs for requests to /api/export/exportResources containing path traversal sequences (e.g., ../, ../../).
grep '/api/export/exportResources.*../' /var/log/nginx/access.log• generic web: Use curl to test the endpoint with various path traversal payloads.
curl 'http://<siyuan_server>/api/export/exportResources?file=../../../../etc/passwd'• go: Examine the SiYuan Kernel source code for the /api/export/exportResources function and related file handling logic to identify potential vulnerabilities or insecure coding practices.
disclosure
漏洞利用状态
EPSS
0.65% (71% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级至SiYuan 3.1.16版本或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制对/api/export/exportResources接口的访问,例如通过Web应用防火墙(WAF)或反向代理服务器进行过滤。此外,应确保SiYuan服务器上的文件权限设置正确,防止未经授权的访问。监控SiYuan服务器的访问日志,及时发现异常活动。
Actualice SiYuan a la versión 3.1.16 o superior. Esta versión contiene una corrección para la vulnerabilidad de lectura arbitraria de archivos y path traversal. La actualización evitará que atacantes accedan a archivos sensibles en su sistema.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-55658描述了SiYuan内核中存在的路径遍历漏洞,攻击者可以通过/api/export/exportResources接口读取任意文件。
如果您使用的是SiYuan 3.1.16之前的版本,则可能受到此漏洞的影响。
建议升级至SiYuan 3.1.16版本或更高版本。
目前尚未确认正在积极利用,但由于漏洞的严重性,存在被利用的风险。
请查阅SiYuan官方安全公告或GitHub仓库获取更多信息。
上传你的 go.mod 文件,立即知道是否受影响。