AFFiNE 授权绕过漏洞CVE-2026-7702

AFFiNE 开源协作知识库平台是 2022 年推出的免费、本地优先知识操作系统（KnowledgeOS），融合文档、白板、数据库与 AI 能力。

一、基本情况

AFFiNE 是一款开源一体化知识操作系统，该系统被称为 “Notion+Miro+Airtable” 开源替代，其主打数据自主、全能创作、实时协作。

AFFiNE 开源平台以 “全能创作、数据自主、无缝协作” 为核心，平衡功能、隐私与成本，适合个人、团队与企业构建一体化知识空间。

栋科技漏洞库关注到 AFFiNE 在 0.26.3 之前版本中存在的授权绕过漏洞，该漏洞现已经被追踪为CVE-2026-7702，CVSS 4.0评分6.9。

二、漏洞分析

CVE-2026-7702是 AFFiNE 开源平台中存在的安全漏洞，该漏洞位于 Public Markdown Preview Endpoint 的 allowDocPreview 函数。

该函数在 /workspace/:workspaceId/:docId 路径下未正确校验用户对工作区文档的访问权限，

导致未授权用户可绕过授权检查访问他人的工作区文档内容。

修复版本中通过增强 allowDocPreview 函数的权限校验逻辑，

确保在渲染 Markdown 预览前正确验证用户是否有权访问对应的工作区文档。

三、影响范围

AFFiNE < 0.26.3

四、修复建议

AFFiNE > 0.26.3

五、参考链接

管理员已设置登录后刷新可查看