الثغرات ›

CVE-2026-7702

متوسط

CWE-285 — نوع الضعف

                    نُشر: May 3, 2026                      ·  آخر تحديث: May 6, 2026                      ·  المصدر: NVD                

CVSS v3

5.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability was detected in toeverything AFFiNE up to 0.26.3. This issue affects the function allowDocPreview of the file /workspace/:workspaceId/:docId of the component Public Markdown Preview Endpoint. The manipulation results in authorization bypass. It is possible to launch the attack remotely. The exploit is now public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 ملخص AI

AFFiNE versions up to 0.26.3 contain an authorization bypass vulnerability in the public markdown preview endpoint that allows remote attackers to access unauthorized documents. The vulnerability affects the allowDocPreview function and could enable unauthorized document access without proper authentication.

📄 الوصف (العربية)

تم اكتشاف ثغرة تجاوز التفويض في منتج AFFiNE الذي يستخدم لإدارة المستندات والتعاون. تسمح الثغرة للمهاجمين بالوصول إلى المستندات الخاصة من خلال نقطة نهاية معاينة Markdown العامة دون الحاجة إلى بيانات اعتماد صحيحة. الاستغلال متاح للعامة والبائع لم يستجب للإفصاح المسؤول.

🤖 ملخص تنفيذي (AI)

إصدارات AFFiNE حتى 0.26.3 تحتوي على ثغرة تجاوز التفويض في نقطة نهاية معاينة Markdown العامة التي تسمح للمهاجمين بالوصول إلى المستندات غير المصرح بها. تؤثر الثغرة على وظيفة allowDocPreview وقد تمكن من الوصول غير المصرح به للمستندات.

🤖 التحليل الذكي آخر تحليل: May 30, 2026 05:03

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government banking healthcare

🎯 تقنيات MITRE ATT&CK

T1078.001 T1566.002 T1190

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade AFFiNE to version 0.26.4 or later immediately. Implement network-level access controls to restrict access to the /workspace/:workspaceId/:docId endpoint. Review access logs for unauthorized document preview attempts. Implement proper authentication and authorization checks before allowing document preview access.

🔧 خطوات المعالجة (العربية)

قم بترقية AFFiNE إلى الإصدار 0.26.4 أو أحدث فوراً. طبق عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى نقطة النهاية. راجع سجلات الوصول للكشف عن محاولات الوصول غير المصرح بها. طبق فحوصات المصادقة والتفويض الصحيحة قبل السماح بمعاينة المستندات.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1 5.2

🔵 SAMA CSF

AC-2 AC-3

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 4

🔗

https://github.com/ngocnn97/security-advisories/blob/main/AFFiNE_BAC_PoC.mp4

cna@vuldb.com

🔗

https://vuldb.com/submit/804455

cna@vuldb.com

🔗

https://vuldb.com/vuln/360871

cna@vuldb.com

🔗

https://vuldb.com/vuln/360871/cti

cna@vuldb.com

📊 CVSS Score

5.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.3

CWECWE-285

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-03

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-285

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-7702

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب