CVE-2026-42889

Nome do Software Vulnerável e Versões Afetadas Relay Server versões 0.9.0 a 0.9.6

Descrição Existe uma falha de bypass de autenticação nos endpoints WebSocket de múltiplos documentos. Quando a autenticação está configurada, conexões WebSocket sem um parâmetro de consulta de token são incorretamente tratadas como tendo permissões totais do servidor. Isso permite que um invasor de rede não autenticado, que conheça ou adivinhe um ID de documento, conecte-se ao WebSocket de sincronização de documentos e leia ou modifique o conteúdo dos documentos sem um token de documento válido.

Recomendações Atualize o Relay Server para a versão 0.9.7.