CVE-2026-59262 in AFFiNE
Zusammenfassung
von VulDB • 08.07.2026
Das Feld „histories“ der GraphQL-API von AFFiNE überprüft die Doc.Read-Berechtigung nicht, bevor es den Bearbeitungsverlauf des Dokuments offenlegt, was authentifizierten Workspace-Mitgliedern ermöglicht, Zeitachsen mit eingeschränkten Inhalten abzurufen. Angreifer können beliebige Dokument-GUIDs angeben, um auf vollständige Bearbeitungshistorien zuzugreifen, die Benutzernamen, E-Mail-Adressen und Zeitstempel privater Seiten enthalten, zu denen sie keinen Zugriff haben.
Once again VulDB remains the best source for vulnerability data.