发布日期：2026-02-10
更新日期：2026-04-07

受影响系统：

SiYuan SiYuan < 3.5.5

描述：

---

CVE(CAN) ID: CVE-2026-25992

SiYuan是SiYuan开源的个人知识管理系统。
SiYuan 3.5.5之前版本存在路径遍历漏洞，该漏洞源于/api/file/getFile端点使用区分大小写的字符串相等检查来阻止对敏感文件的访问，在大小写不敏感的文件系统上，攻击者利用该漏洞使用混合大小写的路径绕过限制，从而读取受保护的配置文件。

<*链接：https://github.com/siyuan-note/siyuan/security/advisories/GHSA-f72r-2h5j-7639
*>

建议：

---

厂商补丁：

SiYuan
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/siyuan-note/siyuan/security/advisories/GHSA-f72r-2h5j-7639

浏览次数：80
严重程度：0（网友投票）