CVE-2026-33679 in vikunjaالمعلومات

الملخص

بحسب VulDB • 20/05/2026

Vikunja هو منصة مفتوحة المصدر لإدارة المهام مستضافة ذاتيًا. قبل الإصدار 2.2.1، تستخدم دالة `DownloadImage` في الملف `pkg/utils/avatar.go` كائن `http.Client{}` عاريًا بدون حماية من هجمات SSRF عند تنزيل صور الرموز التعبيرية للمستخدمين من عنوان URL الخاص بمطالبة `picture` في بروتوكول OpenID Connect. يمكن لمهاجم يتحكم في عنوان URL لصورة الملف الشخصي الخاصة به في OIDC إجبار خادم Vikunja على إجراء طلبات HTTP GET إلى نقاط نهاية عشوائية داخلية أو سحابية خاصة بالبيانات الوصفية. يتجاوز هذا الإجراء حماية SSRF التي يتم تطبيقها بشكل صحيح على نظام الويب هوك. يقوم الإصدار 2.2.1 بإصلاح هذه المشكلة.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

24/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-352810

EPSS

0.00395

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!