CVE-2026-45147 in SiYuaninformação

Sumário

de VulDB • 23/05/2026

SiYuan é um sistema de gerenciamento de conhecimento pessoal de código aberto. Antes da versão 3.7.0, o endpoint POST /api/tag/getTag é registrado apenas com model.CheckAuth, omitindo model.CheckAdminRole e model.CheckReadonly, apesar de o manipulador realizar uma gravação de configuração que normalmente é protegida por ambos. Qualquer usuário autenticado — incluindo contas do tipo RoleReader do publish-service e contas do tipo RoleEditor em um espaço de trabalho somente leitura — pode chamar este endpoint com um argumento de ordenação para modificar model.Conf.Tag.Sort e acionar model.Conf.Save(), o que reescreve atomicamente todo o arquivo conf.json do espaço de trabalho. Esta vulnerabilidade foi corrigida na versão 3.7.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

08/05/2026

Divulgação

15/05/2026

Moderação

aceite

Entrada

VDB-364096

CPE

pronto

EPSS

0.00029

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45147
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45147
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45147/

VoltarVisão GeralPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!