CVE-2026-45147 in SiYuanИнформация

Сводка

по VulDB • 15.05.2026

SiYuan — это система управления личными знаниями с открытым исходным кодом. Версии до 3.7.0 уязвимы: конечная точка POST /api/tag/getTag зарегистрирована только с проверкой model.CheckAuth, игнорируя model.CheckAdminRole и model.CheckReadonly, хотя обработчик выполняет запись конфигурации, которая обычно защищена обоими механизмами. Любой аутентифицированный пользователь — включая учетные записи RoleReader и RoleEditor в режиме «только чтение» — может вызвать эту конечную точку с аргументом сортировки, чтобы изменить модель model.Conf.Tag.Sort и запустить model.Conf.Save(), что атомарно перезапишет весь файл conf.json рабочей области. Уязвимость исправлена в версии 3.7.0.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

08.05.2026

Раскрытие

15.05.2026

Модерация

принято

Вход

VDB-364096

CPE

готов

CWE

CWE-285 (Подтверждённый)

CVSS

4.3 (CNA)

EPSS

0.00029

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45147
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45147
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45147/

◂ Предыдущий Обзор Далее ▸

Might our Artificial Intelligence support you?

Check our Alexa App!