AFFiNE is an open-source, all-in-one workspace and an operating system. Prior to version 0.25.4, there is a one-click remote code execution vulnerability. This vulnerability can be exploited by embedding a specially crafted affine: URL on a website. An attacker can trigger the vulnerability in two common scenarios: 1/ A victim visits a malicious website controlled by the attacker and the website redirect to the URL automatically, or 2/ A victim clicks on a crafted link embedded on a legitimate website (e.g., in user-generated content). In both cases, the browser invokes AFFiNE custom URL handler, which launches the AFFiNE app and processes the crafted URL. This results in arbitrary code execution on the victim’s machine, without further interaction. This issue has been patched in version 0.25.4.

AFFiNE es un espacio de trabajo todo en uno de código abierto y un sistema operativo. Antes de la versión 0.25.4, existe una vulnerabilidad de ejecución remota de código de un solo clic. Esta vulnerabilidad puede ser explotada incrustando una URL affine: especialmente diseñada en un sitio web. Un atacante puede activar la vulnerabilidad en dos escenarios comunes: 1/ Una víctima visita un sitio web malicioso controlado por el atacante y el sitio web redirige automáticamente a la URL, o 2/ Una víctima hace clic en un enlace diseñado incrustado en un sitio web legítimo (p. ej., en contenido generado por el usuario). En ambos casos, el navegador invoca el gestor de URL personalizado de AFFiNE, lo que inicia la aplicación AFFiNE y procesa la URL diseñada. Esto resulta en ejecución de código arbitrario en la máquina de la víctima, sin interacción adicional. Este problema ha sido parcheado en la versión 0.25.4.