Anytype Heart 认证绕过漏洞CVE-2026-31863

Anytype Heart 是 Anytype 生态核心中间件，用 Go 语言编写，为桌面端、CLI 等客户端提供统一底层能力，离线可用，联网自动同步。

一、基本情况

Anytype Heart 是 Anytype 客户端架构的核心中间件库，负责处理底层加密、同步和本地 API 通信，采用事件驱动 + 服务定位器模式。

Anytype Heart 是 Anytype 客户端（桌面、CLI）的底层引擎，封装所有核心业务逻辑，上层 UI 仅做渲染与交互，300+ 包模块化设计。

栋科技漏洞库关注到 Anytype Heart 受影响版本中存在的认证绕过漏洞，该漏洞现已经被追踪为CVE-2026-31863，CVSS 3.X评分3.6。

二、漏洞分析

CVE-2026-31863漏洞是 Anytype Heart 组件本地 gRPC 客户端 API 在处理基于挑战（challenge-based）的身份验证逻辑时存在缺陷。

攻击者可以利用该漏洞，通过特定的请求序列绕过身份验证校验，从而在无需提供 4 位数字验证码的情况下获取 API 的完全访问权限。

由于本地 gRPC 客户端 API 的挑战式认证机制绕过，攻击者无需输入验证码即可获取访问权限，导致本地敏感数据泄露或被恶意操作。

1、不受影响

Anytype 移动端（iOS、Android）—— 未开放本地 gRPC 服务

2、受影响对象

本漏洞仅限本地主机（localhost）利用。

gRPC 与 gRPC-Web 端口仅绑定在 127.0.0.1，不会暴露到局域网或公网。

3、利用条件

拥有运行 Anytype 设备的本地普通用户权限

能够发现随机监听端口

Anytype 实例处于运行状态

Anytype-CLI 无界面部署版本仅在管理员自行配置反向代理，并将 gRPC /gRPC-Web 端口暴露到外部网络时，风险才会升高。

默认情况下，这些端口不会对外暴露，且软件本身无内置的外部暴露机制。

三、影响范围

Anytype 桌面端（全平台）≤ v0.48.2

Anytype-CLI（无界面部署版）≤ v0.1.9

四、修复建议

anytype-cli >= 0.1.11

github.com/anyproto/anytype-cli >= v0.1.11

github.com/anyproto/anytype-heart >=  v0.48.4

anytype-heart >=  0.48.4

 anytype-ts >= 0.54.5

五、参考链接

管理员已设置登录后刷新可查看