平台
go
组件
github.com/siyuan-note/siyuan/kernel
修复版本
3.5.6
0.0.1
CVE-2026-25992 是 SiYuan Kernel 中发现的路径遍历漏洞。该漏洞允许攻击者通过文件读取 API 的大小写绕过,读取系统上的任意文件,可能导致敏感信息泄露。该漏洞影响 SiYuan 3.5.5 之前的版本。建议用户尽快升级至 3.5.5 版本以修复此安全问题。
攻击者利用此路径遍历漏洞,可以绕过文件系统访问控制,读取任意文件。这可能包括包含敏感信息的文件,例如配置文件、数据库凭据或源代码。攻击者可以利用这些信息进行进一步的攻击,例如提升权限、窃取数据或破坏系统。由于 SiYuan 是一款笔记软件,攻击者可能能够读取用户存储在软件中的敏感笔记和文档。
目前尚无公开的漏洞利用程序 (PoC),但该漏洞的严重性较高,存在被利用的风险。该漏洞已于 2026-02-02 公开披露。建议密切关注安全社区的动态,及时获取最新的漏洞信息和缓解措施。
SiYuan users running versions prior to 3.5.5 are at risk. This includes individuals and organizations using SiYuan for personal note-taking, team collaboration, or knowledge management. Shared hosting environments where SiYuan is installed are particularly vulnerable, as a compromise of one user's instance could potentially impact others.
• go / server:
find / -name "siyuan/kernel" -type d -print• go / server:
ps aux | grep siyuan• generic web:
Inspect access logs for requests containing unusual path traversal sequences (e.g., ../../../../etc/passwd).
• generic web:
Monitor response headers for unexpected file content types.
disclosure
漏洞利用状态
EPSS
0.06% (19% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级到 SiYuan 3.5.5 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 SiYuan 进程的权限,使其只能访问必要的文件和目录;实施严格的文件访问控制策略,防止未经授权的访问;监控 SiYuan 进程的文件访问活动,检测可疑行为。升级后,请验证文件访问控制是否正常工作,确认漏洞已成功修复。
Actualice SiYuan a la versión 3.5.5 o posterior. Esta versión corrige la vulnerabilidad de omisión de la validación de acceso a archivos sensibles debido a la distinción entre mayúsculas y minúsculas en los sistemas de archivos.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-25992 是 SiYuan Kernel 中发现的路径遍历漏洞,允许攻击者通过文件读取 API 的大小写绕过读取任意文件,可能导致敏感信息泄露。
如果您使用的是 SiYuan 3.5.5 之前的版本,则可能受到此漏洞的影响。请立即升级至最新版本。
升级到 SiYuan 3.5.5 或更高版本是修复此漏洞的最佳方法。
目前尚无公开的漏洞利用程序,但存在被利用的风险。
请访问 SiYuan 的官方网站或 GitHub 仓库,查找有关此漏洞的公告和修复信息。
上传你的 go.mod 文件,立即知道是否受影响。