Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en SiYuan (CVE-2024-55658)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
12/12/2024
Última modificación:
05/06/2025

Descripción

SiYuan es un sistema de gestión de conocimiento personal. Antes de la versión 3.1.16, el endpoint /api/export/exportResources de SiYuan era vulnerable a la lectura arbitraria de archivos mediante path traversal. Es posible manipular el parámetro paths para acceder y descargar archivos arbitrarios del sistema host mediante el recorrido de la estructura de directorios del espacio de trabajo. La versión 3.1.16 contiene un parche para el problema.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:b3log:siyuan:3.1.15:-:*:*:*:*:*:*