SiYuan is a personal knowledge management system. Prior to version 3.6.2, document IDs were retrieved via the /api/file/readDir interface, and then the /api/block/getChildBlocks interface was used to view the content of all documents. Version 3.6.2 patches the issue.
SiYuan versions prior to 3.6.2 expose document IDs through the /api/file/readDir interface, allowing unauthorized users to retrieve and view all document contents via the /api/block/getChildBlocks interface. This critical vulnerability enables complete unauthorized access to sensitive knowledge management data without proper authentication controls.
تحتوي نسخ SiYuan السابقة للإصدار 3.6.2 على ثغرة في التحكم بالوصول حيث يمكن للمهاجمين استرجاع معرفات المستندات عبر واجهة /api/file/readDir ثم استخدام واجهة /api/block/getChildBlocks للوصول إلى محتوى جميع المستندات. الثغرة تسمح بالوصول غير المصرح به إلى المعلومات الحساسة المخزنة في نظام إدارة المعرفة. الإصدار 3.6.2 يتضمن إصلاح لهذه المشكلة الأمنية الحرجة.
إصدارات SiYuan السابقة للإصدار 3.6.2 تحتوي على ثغرة تجاوز التفويض التي تسمح للمهاجمين بتعداد والوصول إلى محتويات جميع المستندات من خلال استدعاءات واجهة برمجية متسلسلة. تمكن هذه الثغرة الحرجة من الكشف غير المصرح به للمعلومات.
Immediately upgrade SiYuan to version 3.6.2 or later and implement API-level access controls to restrict document enumeration and content retrieval to authenticated users only.
قم بترقية SiYuan إلى الإصدار 3.6.2 أو أحدث فوراً وتطبيق عناصر تحكم في الوصول على مستوى واجهة برمجية التطبيقات لتقييد تعداد المستندات واسترجاع المحتوى للمستخدمين المصرح لهم فقط.