CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-25539

Critical
Published: Translated: NVD NIST

Summary

SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.5.5, punkt końcowy /api/file/copyFile nie weryfikował parametru dest, co pozwalało uwierzytelnionym użytkownikom na zapisywanie plików w dowolnych lokalizacjach w systemie plików.

Risk Assessment

Może to prowadzić do zdalnego wykonania kodu (RCE) poprzez zapis do wrażliwych lokalizacji, takich jak zadania cron, pliki authorized_keys SSH lub pliki konfiguracyjne powłoki.

Recommendation

Zaleca się aktualizację do wersji 3.5.5, w której ten problem został naprawiony.

Original NVD description (English source)

SiYuan is a personal knowledge management system. Prior to version 3.5.5, the /api/file/copyFile endpoint does not validate the dest parameter, allowing authenticated users to write files to arbitrary locations on the filesystem. This can lead to Remote Code Execution (RCE) by writing to sensitive locations such as cron jobs, SSH authorized_keys, or shell configuration files. This issue has been patched in version 3.5.5.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS