CVE-2026-33670 描述了 SiYuan 中的一个目录遍历漏洞。该漏洞允许攻击者通过 /api/file/readDir 接口获取所有文档的文件名。攻击者可以利用此漏洞获取所有文档的文件名。受影响版本为 3.6.2 及更早版本。该问题已在 3.6.2 版本中得到修复,建议用户尽快升级。
CVE-2026-33670 影响 SiYuan,一个个人知识管理系统,在 3.6.2 版本之前。该漏洞存在于 /api/file/readDir 接口中,允许恶意攻击者遍历笔记本中的所有文档并检索其名称。这可能导致这些文档中包含的敏感信息泄露,尤其是在 SiYuan 的访问没有得到适当限制的情况下。该漏洞的严重程度在 CVSS 评分中评为 9.8,表明存在关键风险。成功利用可能导致用户数据机密性受损,允许攻击者访问存储在 SiYuan 系统中的个人、专业或机密信息。
该漏洞通过 /api/file/readDir 接口进行利用。攻击者可以向此接口发送恶意请求以获取笔记本中文件名的列表。服务器端缺乏适当的验证允许攻击者绕过限制并访问信息。在 SiYuan 用于存储敏感信息的环境中,利用情况尤其令人担忧,因为文件名的泄露可能会促进识别后续攻击的有价值目标。缺乏 KEV(内核漏洞验证)表明没有公开的漏洞验证,但较高的 CVSS 评分表明该漏洞很容易被利用。
漏洞利用状态
EPSS
0.06% (18% 百分位)
CISA SSVC
此漏洞的解决方案是将 SiYuan 更新到 3.6.2 或更高版本。此更新修补了 /api/file/readDir 接口,从而防止未经授权访问文件名。强烈建议所有 SiYuan 用户尽快更新其安装程序,以降低被利用的风险。此外,重要的是审查和加强 SiYuan 系统的访问策略,确保只有授权用户才能访问敏感数据。监控系统日志以查找可疑活动也有助于检测和响应潜在的利用尝试。
将 SiYuan 更新到 3.6.2 或更高版本。 此版本修复了发布服务中的目录遍历漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
SiYuan 是一个个人知识管理系统,允许用户组织和访问他们的笔记和文档。
3.6.2 版本修复了 CVE-2026-33670 漏洞,该漏洞允许未经授权访问文件名。
如果无法立即更新,请考虑限制对 SiYuan 系统的访问并监控日志以查找可疑活动。
如果您使用的是 3.6.2 之前的版本,则容易受到此漏洞的攻击。
CVSS 9.8 表示关键风险,这意味着该漏洞很容易被利用并可能产生重大影响。
CVSS 向量