| タイトル | B3logのSiYuanにおける認可に関する脆弱性 |
|---|---|
| 概要 | SiYuanはオープンソースのパーソナルナレッジ管理システムです。バージョン3.6.3以下では、/api/av/removeUnusedAttributeViewエンドポイントがpublish-serviceのRoleReaderトークンを受け入れる一般的な認証のみで保護されていました。このハンドラーは、呼び出し元が制御するidを直接モデル関数に渡し、呼び出し元が書き込み権限を持っているかどうかや、対象の属性ビューが実際に未使用かどうかを検証せずにワークスペースから対応する属性ビューのファイルを無条件に削除します。認証されたpublish-serviceのリーダーは、公に公開されたデータ-av-id値を公開コンテンツから抽出することで、任意の属性ビュー定義を永久に削除できます。その結果、データベースビューやワークスペースのレンダリングが手動で復元されるまで破損します。この問題はバージョン3.6.4で修正されました。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月16日0:00 |
| 登録日 | 2026年4月21日10:44 |
| 最終更新日 | 2026年4月21日10:44 |
| CVSS3.0 : 重要 | |
| スコア | 8.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
| B3log |
| SiYuan 3.6.4 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月21日] 掲載 |
2026年4月21日10:44 |
| 概要 | SiYuan is an open-source personal knowledge management system. In versions 3.6.3 and below, the /api/av/removeUnusedAttributeView endpoint is protected only by generic authentication that accepts publish-service RoleReader tokens. The handler passes a caller-controlled id directly to a model function that unconditionally deletes the corresponding attribute view file from the workspace without verifying that the caller has write privileges or that the target attribute view is actually unused. An authenticated publish-service reader can permanently delete arbitrary attribute view definitions by extracting publicly exposed data-av-id values from published content, causing breakage of database views and workspace rendering until manually restored. This issue has been fixed in version 3.6.4. |
|---|---|
| 公表日 | 2026年4月17日8:16 |
| 登録日 | 2026年4月18日4:10 |
| 最終更新日 | 2026年4月21日1:49 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:b3log:siyuan:*:*:*:*:*:*:*:* | 3.6.4 | ||||