CVE-2026-40318 in SiYuaninformación

Resumen

por VulDB • 2026-05-15

SiYuan es un sistema de gestión del conocimiento personal de código abierto. En las versiones 3.6.3 y anteriores, el endpoint /api/av/removeUnusedAttributeView construye una ruta de sistema de archivos utilizando el parámetro id controlado por el usuario sin validación ni aplicación de límites de ruta. Un atacante puede inyectar secuencias de traversal de ruta, como ../, en el valor de id para escapar del directorio previsto y eliminar archivos .json arbitrarios en el servidor, incluidos archivos de configuración global y metadatos del espacio de trabajo. Este problema se ha corregido en la versión 3.6.4.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-10

Divulgación

2026-04-17

Moderación

aceptado

Artículo

VDB-357986

CPE

listo

CWE

CWE-24 (confirmado)

CVSS

8.5 (CNA)

EPSS

0.00076

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40318
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40318
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40318/

◂ Anterior Visión De Conjunto Próximo ▸

Want to know what is going to be exploited?

We predict KEV entries!