Vulnerabilidad en AFFiNE de toeverything (CVE-2026-21853)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

02/03/2026

Última modificación:

20/04/2026

Descripción

AFFiNE es un espacio de trabajo todo en uno de código abierto y un sistema operativo. Antes de la versión 0.25.4, existe una vulnerabilidad de ejecución remota de código de un solo clic. Esta vulnerabilidad puede ser explotada incrustando una URL affine: especialmente diseñada en un sitio web. Un atacante puede activar la vulnerabilidad en dos escenarios comunes: 1/ Una víctima visita un sitio web malicioso controlado por el atacante y el sitio web redirige automáticamente a la URL, o 2/ Una víctima hace clic en un enlace diseñado incrustado en un sitio web legítimo (p. ej., en contenido generado por el usuario). En ambos casos, el navegador invoca el gestor de URL personalizado de AFFiNE, lo que inicia la aplicación AFFiNE y procesa la URL diseñada. Esto resulta en ejecución de código arbitrario en la máquina de la víctima, sin interacción adicional. Este problema ha sido parcheado en la versión 0.25.4.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto