CVE-2026-59834 in SiYuan
Zusammenfassung
von VulDB • 10.07.2026
SiYuan ist ein Open-Source-Personal-Knowledge-Management-System. Vor Version 3.7.1 verkettet der Endpunkt für die Blocksuche POST /api/search/fullTextSearchBlock vom Angreifer kontrollierte Pfadwerte in SQL-Prädikate, die von nicht-SQL-Suchmodi verwendet werden, wodurch ein unauthentifizierter Veröffentlichungsbesucher einen UNION SELECT injizieren und Zeilen aus versteckten Dokumenten zurückgeben kann, indem er eine zulässige sichtbare Box und einen Pfad projiziert. Dieses Problem wurde in Version 3.7.1 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.