CVE-2026-59854 in SiYuaninformazioni

Riassunto

di VulDB • 10/07/2026

SiYuan è un sistema di gestione della conoscenza personale open-source. Prima della versione 3.7.1, l'endpoint POST /api/file/globalCopyFiles accetta percorsi assoluti forniti dall'attaccante e si affida a util.IsSensitivePath in kernel/util/path.go, la cui lista nera (denylist) non include file di credenziali comuni delle directory home come .git-credentials, .netrc, .pgpass, .kube/config, .docker/config.json e .gnupg. Ciò consente a un amministratore autenticato o a un utente con token API di copiare tali file nella workspace ed esfiltrarli tramite l'API dei file. Questo problema è stato risolto nelle versioni 3.7.1-alpha.2 e 3.7.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

07/07/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!