Vulnerabilidad en SiYuan (CVE-2024-55658)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
12/12/2024
Última modificación:
05/06/2025
Descripción
SiYuan es un sistema de gestión de conocimiento personal. Antes de la versión 3.1.16, el endpoint /api/export/exportResources de SiYuan era vulnerable a la lectura arbitraria de archivos mediante path traversal. Es posible manipular el parámetro paths para acceder y descargar archivos arbitrarios del sistema host mediante el recorrido de la estructura de directorios del espacio de trabajo. La versión 3.1.16 contiene un parche para el problema.
Impacto
Puntuación base 4.0
8.70
Gravedad 4.0
ALTA
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:b3log:siyuan:3.1.15:-:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página