SiYuan is a personal knowledge management system. In versions prior to 3.5.4, the markdown feature allows unrestricted server side html-rendering which allows arbitrary file read (LFD). Version 3.5.4 fixes the issue.
SiYuan knowledge management system versions before 3.5.4 contain a local file disclosure vulnerability through unrestricted HTML rendering in markdown features. Attackers can read arbitrary files from the server by exploiting improper sanitization of markdown content.
يسمح نظام SiYuan بعرض HTML غير مقيد في ميزات markdown مما يؤدي إلى ثغرة كشف الملفات المحلية. يمكن للمهاجمون استخدام هذه الثغرة للوصول إلى ملفات حساسة على الخادم دون تصريح. تم إصلاح هذه المشكلة في الإصدار 3.5.4.
نظام إدارة المعرفة SiYuan في الإصدارات السابقة للإصدار 3.5.4 يحتوي على ثغرة في الكشف عن الملفات المحلية من خلال عرض HTML غير مقيد في ميزات markdown. يمكن للمهاجمين قراءة ملفات عشوائية من الخادم عن طريق استغلال عدم التحقق الصحيح من محتوى markdown.
Upgrade SiYuan to version 3.5.4 or later immediately. Implement input validation and HTML sanitization for all markdown rendering. Apply web application firewall rules to restrict file access patterns. Review and restrict file system permissions for the application process.
قم بترقية SiYuan إلى الإصدار 3.5.4 أو أحدث فوراً. قم بتطبيق التحقق من المدخلات وتنظيف HTML لجميع عمليات عرض markdown. طبق قواعد جدار الحماية لتطبيقات الويب لتقييد أنماط الوصول إلى الملفات. راجع وقيد أذونات نظام الملفات لعملية التطبيق.