CRITICALCVE-2026-33669CVSS 9.8

CVE-2026-33669 SiYuan 笔记目录遍历漏洞，可读取文档内容

Q: CVE-2026-33669 是什么 — github.com/siyuan-note/siyuan/kernel 中的漏洞？

SiYuan是一个开源笔记和知识管理应用程序。

Q: github.com/siyuan-note/siyuan/kernel 中的 CVE-2026-33669 是否会影响我？

如果攻击者可以访问文档，他们可以读取其内容，从而危及存储信息的机密性。

Q: 如何修复 github.com/siyuan-note/siyuan/kernel 中的 CVE-2026-33669？

如果无法立即更新，请限制对SiYuan的访问并监控系统日志中是否存在可疑活动。

Q: CVE-2026-33669 是否正在被积极利用？

重要的是及时了解SiYuan的最新安全更新，并查看安全警报，以了解任何其他已知的漏洞。

Q: 在哪里可以找到 github.com/siyuan-note/siyuan/kernel 关于 CVE-2026-33669 的官方安全通告？

如果您使用的是3.6.2之前的版本，则容易受到攻击。请检查您使用的SiYuan版本。

平台

组件

github.com/siyuan-note/siyuan/kernel

修复版本

3.6.3

0.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-33669 描述了 SiYuan 笔记中的一个漏洞，该漏洞允许攻击者通过 /api/block/getChildBlocks 接口读取文档内容。攻击者可以利用此漏洞访问所有文档内容。受影响版本为 0.0.0-20260317012524-fe4523fff2c8 及更早版本。该问题已在 3.6.2 版本中得到修复，建议用户尽快升级。

影响与攻击场景

SiYuan中的CVE-2026-33669漏洞允许具有文档读取访问权限的攻击者读取系统中的所有文档的内容。这通过利用/api/file/readDir API检索文档ID，然后使用/api/block/getChildBlocks API访问这些文档的内容来实现。/api/block/getChildBlocks API中缺乏适当的验证允许攻击者，一旦知道文档ID，就可以访问其所有内容块，从而泄露可能存储在文档中的敏感信息。影响重大，尤其是在SiYuan用于存储敏感信息的环境中。

利用背景

如果攻击者具有SiYuan中文档的读取访问权限，则可以利用此漏洞。这可能是通过具有读取权限的合法用户帐户或通过系统中的另一个组件的漏洞来实现，该漏洞允许访问SiYuan运行的网络。一旦攻击者获得文档ID，他们就可以使用/api/block/getChildBlocks API读取文档的所有内容，包括密码、个人数据或机密商业信息等敏感信息。易于利用使得此漏洞特别令人担忧。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.04% (13% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

受影响的软件

组件github.com/siyuan-note/siyuan/kernel

供应商osv

影响范围修复版本

< 3.6.2 – < 3.6.23.6.3

0.0.0-20260317012524-fe4523fff2c80.0.1

弱点分类 (CWE)

CWE-125

时间线

已保留2026-03-23
发布日期2026-03-25
修改日期2026-03-27
EPSS 更新日期2026-04-03

缓解措施和替代方案

CVE-2026-33669的主要缓解措施是将SiYuan更新到3.6.2或更高版本。此版本包含修复程序，可以正确验证对/api/block/getChildBlocks API的请求，从而防止未经授权访问文档内容。此外，建议审查SiYuan中文档的访问权限，以确保只有授权用户才能访问敏感信息。监控系统日志中与/api/file/readDir和/api/block/getChildBlocks API相关的可疑活动也可以帮助检测和响应潜在攻击。

修复方法

将 SiYuan 更新到 3.6.2 或更高版本。 此版本修复了允许在发布服务中任意读取文档的漏洞。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-33669 是什么 — github.com/siyuan-note/siyuan/kernel 中的漏洞？