الثغرات ›

CVE-2026-33669

حرج ⚡ اختراق متاح

نظام إدارة المعرفة SiYuan - الوصول غير المصرح به للمستندات عبر تعداد واجهة برمجية

CWE-125 — نوع الضعف

                    نُشر: Mar 26, 2026                      ·  آخر تحديث: Apr 2, 2026                      ·  المصدر: NVD                

CVSS v3

9.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

SiYuan is a personal knowledge management system. Prior to version 3.6.2, document IDs were retrieved via the /api/file/readDir interface, and then the /api/block/getChildBlocks interface was used to view the content of all documents. Version 3.6.2 patches the issue.

🤖 ملخص AI

SiYuan versions prior to 3.6.2 expose document IDs through the /api/file/readDir interface, allowing unauthorized users to retrieve and view all document contents via the /api/block/getChildBlocks interface. This critical vulnerability enables complete unauthorized access to sensitive knowledge management data without proper authentication controls.

📄 الوصف (العربية)

تحتوي نسخ SiYuan السابقة للإصدار 3.6.2 على ثغرة في التحكم بالوصول حيث يمكن للمهاجمين استرجاع معرفات المستندات عبر واجهة /api/file/readDir ثم استخدام واجهة /api/block/getChildBlocks للوصول إلى محتوى جميع المستندات. الثغرة تسمح بالوصول غير المصرح به إلى المعلومات الحساسة المخزنة في نظام إدارة المعرفة. الإصدار 3.6.2 يتضمن إصلاح لهذه المشكلة الأمنية الحرجة.

🤖 ملخص تنفيذي (AI)

إصدارات SiYuan السابقة للإصدار 3.6.2 تحتوي على ثغرة تجاوز التفويض التي تسمح للمهاجمين بتعداد والوصول إلى محتويات جميع المستندات من خلال استدعاءات واجهة برمجية متسلسلة. تمكن هذه الثغرة الحرجة من الكشف غير المصرح به للمعلومات.

🤖 التحليل الذكي آخر تحليل: Apr 4, 2026 17:09

🇸🇦 التأثير على المملكة العربية السعودية

Relevance: high

🏢 القطاعات السعودية المتأثرة

الحكومة والإدارة العامة التعليم والجامعات الرعاية الصحية والمستشفيات الخدمات المالية والمصرفية الشركات والمؤسسات الخاصة البحث والتطوير الاستشارات والخدمات المهنية

🎯 تقنيات MITRE ATT&CK

T1526: Reconnaissance - Enumerate API endpoints T1087: Account Discovery - Enumerate documents T1040: Traffic Sniffing - Capture API responses T1526.004: Cloud Service Discovery T1592: Gather Victim Identity Information

⚖️ درجة المخاطر السعودية (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade SiYuan to version 3.6.2 or later and implement API-level access controls to restrict document enumeration and content retrieval to authenticated users only.

🔧 خطوات المعالجة (العربية)

قم بترقية SiYuan إلى الإصدار 3.6.2 أو أحدث فوراً وتطبيق عناصر تحكم في الوصول على مستوى واجهة برمجية التطبيقات لتقييد تعداد المستندات واسترجاع المحتوى للمستخدمين المصرح لهم فقط.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

AC-2: Account Management AC-3: Access Control Enforcement AC-6: Least Privilege SI-4: Information System Monitoring

🔵 SAMA CSF

ID.AC-1: Access Control Policy PR.AC-1: Processes and procedures PR.AC-4: Access rights management DE.CM-1: Detection processes

🟡 ISO 27001:2022

A.9.1.1: Access control policy A.9.2.1: User registration and access management A.9.4.3: Password management A.14.2.1: Secure development policy

🔗 المراجع والمصادر 1

🔗

https://github.com/siyuan-note/siyuan/security/advisories/GHSA-34xj-66v3-6j83

security-advisories@github.com

Exploit Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

b3log:siyuan

📊 CVSS Score

9.8

/ 10.0 — حرج

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.8

CWECWE-125

EPSS0.04%

اختراق متاح ✓ نعم

تصحيح متاح ✗ لا

تاريخ النشر 2026-03-26

المصدر nvd

المشاهدات 3

🇸🇦 درجة المخاطر السعودية

9.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

exploit-available CWE-125

🏢 توجيهات البائع

🔗 https://github.com/siyuan-note/siyuan/security/advis...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-33669

عرّفنا بنفسك

تسجيل الدخول مطلوب