CVE-2026-59832 in SiYuan
요약
\~에 의해 VulDB • 2026. 07. 10.
SiYuan은 오픈 소스 개인 지식 관리 시스템입니다. 버전 3.7.1 이전의 경우, kernel/server/serve.go에 있는 /snippets/*filepath 라우트 핸들러인 serveSnippets는 단일 디코딩된 요청 경로를 스니펫 디렉토리와 결합할 때 하위 경로 제한(subpath containment)이나 민감한 경로 검사를 수행하지 않아, 인증된 요청(예: /snippets/%2e%2e/%2e%2e/conf/conf.json)을 통해 워크스페이스 시크릿과 문서 데이터베이스를 읽는 것이 가능합니다. 이 문제는 버전 3.7.1에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.