HIGHCVE-2024-55659CVSS 7.5

SiYuan 在 github.com/siyuan-note/siyuan/kernel 的 /api/asset/upload 接口存在主机任意文件写入漏洞。

Q: 什么是 CVE-2024-55659 — 任意文件写入漏洞在 SiYuan?

CVE-2024-55659 是 SiYuan 内核中发现的任意文件写入漏洞，允许攻击者通过 `/api/asset/upload` 接口写入任意文件。

Q: 我是否受到 CVE-2024-55659 在 SiYuan 中的影响?

如果您正在使用 SiYuan 3.1.16 之前的版本，则可能受到此漏洞的影响。

Q: 我如何修复 CVE-2024-55659 在 SiYuan 中?

建议立即升级到 SiYuan 3.1.16 或更高版本。

Q: CVE-2024-55659 是否正在被积极利用?

目前尚未公开发现针对 CVE-2024-55659 的公开利用代码，但由于漏洞的严重性，存在被恶意利用的风险。

Q: 在哪里可以找到 SiYuan 官方关于 CVE-2024-55659 的公告?

请访问 SiYuan 的官方网站或 GitHub 仓库，查找有关 CVE-2024-55659 的安全公告。

平台

组件

github.com/siyuan-note/siyuan/kernel

修复版本

3.1.17

0.0.1

AI Confidence: highNVDEPSS 0.5%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-55659 描述了 SiYuan 内核中存在的任意文件写入漏洞。该漏洞允许攻击者通过 /api/asset/upload 接口在目标系统上写入任意文件，可能导致敏感信息泄露、恶意代码执行或系统完整性受损。该漏洞影响 SiYuan 3.1.16 之前的版本，建议用户尽快升级到 3.1.16 或更高版本以消除风险。

影响与攻击场景

攻击者利用此漏洞可以绕过安全机制，将恶意文件上传到 SiYuan 服务器的任何可写位置。这可能导致攻击者执行以下操作：篡改或删除重要数据，植入后门程序以实现持久性访问，或者利用上传的文件执行远程代码。由于 SiYuan 通常用于存储和管理敏感信息，因此该漏洞可能导致严重的隐私泄露和数据安全事件。攻击者可以利用此漏洞获取用户笔记、密码和其他敏感数据，并将其用于进一步的攻击活动。此外，如果 SiYuan 服务器与其他系统集成，攻击者还可以利用此漏洞进行横向移动，攻击更广泛的网络。

利用背景

目前尚未公开发现针对 CVE-2024-55659 的公开利用代码 (PoC)。该漏洞已被添加到 CISA KEV 目录中，表明其具有中等风险。由于该漏洞允许攻击者写入任意文件，因此存在被恶意利用的风险。建议密切关注安全社区的动态，及时获取最新的威胁情报。

哪些人处于风险中翻译中…

Organizations and individuals using SiYuan for knowledge management, particularly those running versions prior to 3.1.16, are at risk. This includes teams relying on SiYuan for internal documentation, research, or collaboration. Shared hosting environments where SiYuan is deployed could be particularly vulnerable, as a compromised instance could potentially impact other tenants.

检测步骤翻译中…

• go / server:

find /var/log -name "siyuan.log*" -print0 | xargs -0 grep -i "/api/asset/upload"

• generic web:

curl -I <siyuan_url>/api/asset/upload | grep -i 'content-type'

• linux / server:

journalctl -u siyuan -f | grep -i "/api/asset/upload"

攻击时间线

2024-12-12Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

EPSS

0.53% (67% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

受影响的软件

组件github.com/siyuan-note/siyuan/kernel

供应商osv

影响范围修复版本

< 3.1.16 – < 3.1.163.1.17

0.0.0-20241210012039-5129ad926a210.0.1

弱点分类 (CWE)

CWE-22 CWE-79

时间线

已保留2024-12-10
发布日期2024-12-12
修改日期2026-03-03
EPSS 更新日期2026-04-02

缓解措施和替代方案

最有效的缓解措施是立即升级到 SiYuan 3.1.16 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制 /api/asset/upload 接口的访问权限，只允许授权用户上传文件。实施严格的文件类型验证，只允许上传安全的文件类型。监控 /api/asset/upload 接口的访问日志，及时发现异常活动。如果使用代理服务器或 Web 应用防火墙 (WAF)，可以配置规则以阻止恶意文件上传请求。升级后，请检查 SiYuan 服务器上的文件系统，确认没有被恶意篡改的文件。

修复方法翻译中…

Actualice SiYuan a la versión 3.1.16 o posterior. Esta versión contiene una corrección para la vulnerabilidad de escritura arbitraria de archivos y XSS almacenado. La actualización se puede realizar a través de la interfaz de administración de SiYuan o descargando la última versión del sitio web oficial.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-55659 — 任意文件写入漏洞在 SiYuan?

CVE-2024-55659 是 SiYuan 内核中发现的任意文件写入漏洞，允许攻击者通过 /api/asset/upload 接口写入任意文件。

我是否受到 CVE-2024-55659 在 SiYuan 中的影响?