一、 漏洞 CVE-2024-55658 基础信息
漏洞标题
SiYuan存在任意文件读取和路径遍历漏洞
来源:AIGC 神龙大模型
漏洞描述信息
SiYuan 是一款个人知识管理系统。在 3.1.16 版本之前,SiYuan 的 /api/export/exportResources 接口存在路径穿越导致的任意文件读取漏洞。攻击者可以通过操纵 paths 参数,遍历工作空间目录结构,访问并下载主机系统上的任意文件。该漏洞在 3.1.16 版本中已得到修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
SiYuan has an arbitrary file read and path traversal via /api/export/exportResources
来源:美国国家漏洞数据库 NVD
漏洞描述信息
SiYuan is a personal knowledge management system. Prior to version 3.1.16, SiYuan's /api/export/exportResources endpoint is vulnerable to arbitary file read via path traversal. It is possible to manipulate the paths parameter to access and download arbitrary files from the host system by traversing the workspace directory structure. Version 3.1.16 contains a patch for the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
SiYuan 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SiYuan是SiYuan开源的一个隐私至上的个人知识管理系统。 SiYuan 3.1.16之前版本存在路径遍历漏洞,该漏洞源于容易受到通过路径遍历进行的任意文件读取攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-55658 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-55658 的情报信息