الثغرات ›

CVE-2026-33670

حرج ⚡ اختراق متاح

ثغرة اجتياز المسار في واجهة /api/file/readDir في نظام SiYuan

CWE-22 — نوع الضعف

                    نُشر: Mar 26, 2026                      ·  آخر تحديث: Apr 2, 2026                      ·  المصدر: NVD                

CVSS v3

9.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

SiYuan is a personal knowledge management system. Prior to version 3.6.2, the /api/file/readDir interface was used to traverse and retrieve the file names of all documents under a notebook. Version 3.6.2 patches the issue.

🤖 ملخص AI

SiYuan knowledge management system versions before 3.6.2 contain a directory traversal vulnerability in the /api/file/readDir interface that allows unauthorized access to file names within notebooks. This critical vulnerability (CVSS 9.8) enables attackers to enumerate and retrieve sensitive document information without proper authorization.

📄 الوصف (العربية)

تعاني منصة إدارة المعرفة الشخصية SiYuan من ثغرة اجتياز مسار حرجة في واجهة برمجية /api/file/readDir قبل الإصدار 3.6.2. تسمح هذه الثغرة للمهاجمين بالوصول غير المصرح به إلى هياكل الملفات والمجلدات داخل دفاتر الملاحظات. يمكن استخدام هذا الثغرة لاستخراج معلومات حساسة عن تنظيم المستندات والملفات. الإصدار 3.6.2 وما بعده يتضمن إصلاحات أمنية لمعالجة هذه المشكلة.

🤖 ملخص تنفيذي (AI)

تحتوي إصدارات SiYuan السابقة للإصدار 3.6.2 على ثغرة حرجة في اجتياز المسار في نقطة نهاية API /api/file/readDir تسمح بتعداد الملفات غير المصرح به وهجمات اجتياز الدليل. يمكن للمهاجم استغلال هذه الثغرة لاسترجاع أسماء الملفات الحساسة وهياكل المستندات من دفاتر الملاحظات دون تفويض مناسب.

🤖 التحليل الذكي آخر تحليل: Apr 4, 2026 17:09

🇸🇦 التأثير على المملكة العربية السعودية

Relevance: high

🏢 القطاعات السعودية المتأثرة

التعليم والبحث العلمي الخدمات المالية والمصرفية الحكومة والإدارة العامة الرعاية الصحية والمستشفيات الاستشارات والخدمات المهنية تكنولوجيا المعلومات والاتصالات

🎯 تقنيات MITRE ATT&CK

T1083: File and Directory Discovery T1526: Exposure of Sensitive Information T1087: Account Discovery T1135: Network Share Discovery T1040: Traffic Capture or Redirection

⚖️ درجة المخاطر السعودية (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade SiYuan to version 3.6.2 or later and review access logs for any unauthorized directory traversal attempts.

🔧 خطوات المعالجة (العربية)

قم بترقية SiYuan إلى الإصدار 3.6.2 أو أحدث فوراً ومراجعة سجلات الوصول للكشف عن محاولات اجتياز غير مصرح بها.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC-2.1: Access Control and Authentication ECC-3.2: Data Protection and Confidentiality ECC-4.1: Vulnerability Management

🔵 SAMA CSF

SAMA-CSF-ID.AM-1: Asset Management SAMA-CSF-PR.AC-1: Access Control SAMA-CSF-DE.CM-8: Vulnerability Scanning

🟡 ISO 27001:2022

A.6.1.1: Information Security Roles and Responsibilities A.9.1.1: Access Control Policy A.12.6.1: Management of Technical Vulnerabilities

🔗 المراجع والمصادر 1

🔗

https://github.com/siyuan-note/siyuan/security/advisories/GHSA-xmw9-6r43-x9ww

security-advisories@github.com

Exploit Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

b3log:siyuan

📊 CVSS Score

9.8

/ 10.0 — حرج

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.8

CWECWE-22

EPSS0.06%

اختراق متاح ✓ نعم

تصحيح متاح ✗ لا

تاريخ النشر 2026-03-26

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

9.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

exploit-available CWE-22

🏢 توجيهات البائع

🔗 https://github.com/siyuan-note/siyuan/security/advis...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-33670

انضم إلى سيزو للاستشارات

عرّفنا بنفسك

تسجيل الدخول مطلوب