CVE-2026-34453 in SiYuanالمعلومات

الملخص

بحسب VulDB • 18/06/2026

SiYuan هو نظام لإدارة المعرفة الشخصية. قبل الإصدار 3.6.2، تعرض خدمة النشر الكتل المحفوظة في علامات مرجعية (bookmarked blocks) من المستندات المحمية بكلمة مرور للزوار غير المصادق عليهم. في وضع النشر/القراءة فقط، يقوم `/api/bookmark/getBookmark` بتصفية نتائج العلامات المرجعية عن طريق استدعاء `FilterBlocksByPublishAccess(nil, ...)`. ونظراً لأن المرشّح يعامل السياق الفارغ (nil context) على أنه مصرّح به، فإنه يتخطى التحقق من كلمة مرور النشر ويعيد الكتل المحفوظة في علامات مرجعية من المستندات المُعدّة كـ "محمية". ونتيجة لذلك، يمكن لأي شخص لديه إمكانية الوصول إلى خدمة النشر استرداد المحتوى من المستندات المحمية دون تقديم كلمة المرور المطلوبة، طالما أن كتلة واحدة على الأقل في المستند محفوظة في علامة مرجعية. تم إصلاح هذه المشكلة في الإصدار 3.6.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

27/03/2026

إفشاء

01/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354572

EPSS

0.01227

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!