A vulnerability was detected in toeverything AFFiNE up to 0.26.3. This issue affects the function allowDocPreview of the file /workspace/:workspaceId/:docId of the component Public Markdown Preview Endpoint. The manipulation results in authorization bypass. It is possible to launch the attack remotely. The exploit is now public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
AFFiNE versions up to 0.26.3 contain an authorization bypass vulnerability in the public markdown preview endpoint that allows remote attackers to access unauthorized documents. The vulnerability affects the allowDocPreview function and could enable unauthorized document access without proper authentication.
تم اكتشاف ثغرة تجاوز التفويض في منتج AFFiNE الذي يستخدم لإدارة المستندات والتعاون. تسمح الثغرة للمهاجمين بالوصول إلى المستندات الخاصة من خلال نقطة نهاية معاينة Markdown العامة دون الحاجة إلى بيانات اعتماد صحيحة. الاستغلال متاح للعامة والبائع لم يستجب للإفصاح المسؤول.
إصدارات AFFiNE حتى 0.26.3 تحتوي على ثغرة تجاوز التفويض في نقطة نهاية معاينة Markdown العامة التي تسمح للمهاجمين بالوصول إلى المستندات غير المصرح بها. تؤثر الثغرة على وظيفة allowDocPreview وقد تمكن من الوصول غير المصرح به للمستندات.
Upgrade AFFiNE to version 0.26.4 or later immediately. Implement network-level access controls to restrict access to the /workspace/:workspaceId/:docId endpoint. Review access logs for unauthorized document preview attempts. Implement proper authentication and authorization checks before allowing document preview access.
قم بترقية AFFiNE إلى الإصدار 0.26.4 أو أحدث فوراً. طبق عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى نقطة النهاية. راجع سجلات الوصول للكشف عن محاولات الوصول غير المصرح بها. طبق فحوصات المصادقة والتفويض الصحيحة قبل السماح بمعاينة المستندات.