CVE-2026-32938 — 神龙十问 AI 深度分析摘要
CVSS 9.9 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:路径遍历漏洞(LFI) 📉 **后果**:攻击者可读取服务器上的**敏感文件**,导致隐私数据泄露。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-22**:路径遍历 📍 **缺陷点**:`/api/lute/html2BlockDOM` 端点**未验证文件路径**,缺乏安全检查。
Q3影响谁?(版本/组件)
📦 **产品**:SiYuan(思源笔记) 📅 **版本**:**3.6.0 及之前版本**(v3.6.1 已修复)。
Q4黑客能干啥?(权限/数据)
💀 **权限**:需低权限(PR:L) 📂 **数据**:可访问**任意本地文件**,造成高机密性损失(C:H)。
Q5利用门槛高吗?(认证/配置)
🔑 **门槛**:中等 ⚠️ **条件**:需要**本地认证**(PR:L),非完全匿名利用,但配置简单(AC:L)。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **Exp**:暂无公开 PoC 🌍 **在野**:未发现利用报告(Pocs 为空)。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 API 日志中是否出现异常的 `html2BlockDOM` 请求,特别是包含 `../` 的路径。
Q8官方修了吗?(补丁/缓解)
🛡️ **已修复**:官方已发布 **v3.6.1** 补丁。 🔗 **参考**:GitHub Commit & Security Advisory。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:若无法升级,建议**限制 API 访问权限**,或部署 WAF 拦截包含路径遍历字符的请求。
Q10急不急?(优先级建议)
🔥 **优先级**:高 💡 **建议**:CVSS 评分高(C:H/A:H),虽需认证,但危害大,建议**立即升级**至 v3.6.1+。