Katalog CVE

CVE-2026-42889

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje serwera Relay od 0.9.0 do 0.9.6 zawierają lukę w autoryzacji w punktach końcowych WebSocket dla wielu dokumentów. Atakujący bez autoryzacji może uzyskać dostęp do zawartości dokumentów, jeśli zna lub zgadnie identyfikator dokumentu.

Ocena ryzyka

Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do dokumentów, co może prowadzić do wycieku danych lub ich modyfikacji.

Rekomendacja

Zaleca się aktualizację do wersji 0.9.7, aby usunąć tę lukę w zabezpieczeniach.

Oryginalny opis (angielski, źródło NVD)

Relay adds real-time collaboration to Obsidian. Relay Server versions 0.9.0 through 0.9.6 contain an authentication bypass in the multi-document WebSocket endpoints. When authentication is configured, WebSocket connections without a token query parameter were incorrectly treated as having full server permissions. An unauthenticated network attacker who knows or guesses a document ID could connect to the document sync WebSocket and read or modify document contents without a valid document token. This vulnerability is fixed in 0.9.7.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS