CVE-2026-54068
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
SiYuan to system zarządzania wiedzą, który przed wersją 3.7.0 miał punkt końcowy /api/icon/getDynamicIcon, który nie wymagał uwierzytelnienia. Atakujący mogą wykorzystać ten punkt końcowy do wykonania dowolnych zapytań SELECT w bazie danych SQLite SiYuan, co prowadzi do wycieku danych użytkowników.
Ocena ryzyka
Organizacje korzystające z SiYuan przed wersją 3.7.0 są narażone na wyciek poufnych informacji, takich jak notatki użytkowników, tagi i atrybuty bloków, co może prowadzić do poważnych naruszeń prywatności.
Rekomendacja
Zaleca się aktualizację SiYuan do wersji 3.7.0 lub nowszej, aby zabezpieczyć się przed tą podatnością. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa bazy danych w celu wykrycia potencjalnych naruszeń.
Oryginalny opis (angielski, źródło NVD)
SiYuan is an open-source personal knowledge management system. Prior to 3.7.0, the /api/icon/getDynamicIcon endpoint is explicitly excluded from authentication in SiYuan's kernel router (router.go, "不需要鉴权" -- no auth needed). When called with type=8 and a valid block id parameter, this endpoint invokes RenderDynamicIconContentTemplate, which executes a Go template that includes the querySQL and queryBlocks functions. These functions run arbitrary SELECT statements against the SiYuan SQLite database. An unauthenticated network-adjacent attacker who knows a valid block ID can exfiltrate all user note content, tags, asset references, and block attributes from the database. This vulnerability is fixed in 3.7.0.

