CVE-2026-32747 in SiYuaninfo

Zusammenfassung

von VulDB • 24.05.2026

SiYuan ist ein System zur persönlichen Wissensverwaltung. In den Versionen 3.6.0 und älter liest die API globalCopyFiles Quelldateien unter Verwendung von filepath.Abs() ohne Prüfung der Workspace-Grenzen, wobei ausschließlich util.IsSensitivePath() verwendet wird. Die Blockliste dieser Funktion lässt /proc/, /run/secrets/ und Dotfiles im Home-Verzeichnis aus. Ein Administrator kann /proc/1/environ oder Docker-Geheimnisse in den Workspace kopieren und über die Standard-Datei-API darauf zugreifen. Ein Administrator kann beliebige Dateien, die vom SiYuan-Prozess gelesen werden können und nicht durch die unvollständige Blockliste abgedeckt sind, extrahieren. Bei Container-basierten Bereitstellungen umfasst dies alle injizierten Geheimnisse und Umgebungsvariablen – ein gängiges Muster zur Übergabe von Anmeldeinformationen an Container. Die extrahierten Dateien sind anschließend über die Standard-Workspace-Datei-API zugänglich und bleiben bestehen, bis sie manuell gelöscht werden. Dieses Problem wurde in Version 3.6.1 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

13.03.2026

Veröffentlichung

20.03.2026

Moderieren

akzeptiert

Eintrag

VDB-351931

CPE

bereit

EPSS

0.00095

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-32747
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-32747
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-32747/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!