CVE-2026-45148

Nome do Software Vulnerável e Versões Afetadas SiYuan versões anteriores a 3.7.0

Description Um controle de acesso quebrado no modo de publicação permite que leitores enumerem metadados de documentos que estão invisíveis para o serviço de publicação. Isso ocorre porque alguns manipuladores de pesquisa não filtram as respostas para usuários com a função RoleReader, permitindo que eles ignorem a fronteira de confiança e acessem informações de blocos de notas protegidos por senha ou ignorados pela publicação. Um invasor pode enumerar todas as strings de tags, nomes de arquivos de ativos, nomes de widgets e nomes de modelos em todo o espaço de trabalho.

Os endpoints de API afetados são:

Recommendations Atualize para a versão 3.7.0. Como medida paliativa temporária, restrinja o acesso aos endpoints '/api/search/searchTag', '/api/search/searchTemplate', '/api/search/searchWidget' e '/api/search/searchAsset' para minimizar o risco de enumeração de metadados.