CVE-2026-42889
KrytyczneStreszczenie
Wersje serwera Relay od 0.9.0 do 0.9.6 zawierają lukę w autoryzacji w punktach końcowych WebSocket dla wielu dokumentów. Atakujący bez autoryzacji może uzyskać dostęp do zawartości dokumentów, jeśli zna lub zgadnie identyfikator dokumentu.
Ocena ryzyka
Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do dokumentów, co może prowadzić do wycieku danych lub ich modyfikacji.
Rekomendacja
Zaleca się aktualizację do wersji 0.9.7, aby usunąć tę lukę w zabezpieczeniach.
Oryginalny opis (angielski, źródło NVD)
Relay adds real-time collaboration to Obsidian. Relay Server versions 0.9.0 through 0.9.6 contain an authentication bypass in the multi-document WebSocket endpoints. When authentication is configured, WebSocket connections without a token query parameter were incorrectly treated as having full server permissions. An unauthenticated network attacker who knows or guesses a document ID could connect to the document sync WebSocket and read or modify document contents without a valid document token. This vulnerability is fixed in 0.9.7.

