つみかさね

CVE-2026-30869

Critical(9.3)

CVE-2026-30869 — SiYuan パストラバーサルによる機密情報漏洩

公開日: 2026-03-14データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
SiYuansiyuan-note< 3.5.10
CVESiYuanパストラバーサル情報漏洩

概要

SiYuan は 個人 ナレッジ 管理 システム です。バージョン 3.5.10 未満 の /export エンドポイント に パス トラバーサル 脆弱性 が 存在 します。

ダブル エンコード された トラバーサル シーケンス を 利用 する こと で、サーバー ファイルシステム 上 の 任意 の ファイル を 読み取る こと が できます。conf/conf.json に 含まれる API トークン、Cookie 署名 キー、ワークスペース 認証 コード 等 の 機密 情報 が 漏洩 し、管理 API へ の アクセス や、特定 の 環境 では RCE に チェーン される 可能性 が あります。

CVSS ベクトル

項目
CVSSスコア9.3 (Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要
ユーザー関与不要
CWECWE-22 (パストラバーサル)

影響を受けるソフトウェア

製品バージョン
SiYuan3.5.10 未満

修正バージョンと回避策

  • 修正バージョン: 3.5.10

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-30869
GHSA:https://github.com/siyuan-note/siyuan/security/advisories/GHSA-2h2p-mvfx-868w
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。