CVE-2026-33679 in vikunjainfo

Zusammenfassung

von VulDB • 20.05.2026

Vikunja ist eine quelloffene, selbst gehostete Aufgabenverwaltungsplattform. Vor Version 2.2.1 verwendet die Funktion `DownloadImage` in `pkg/utils/avatar.go` einen nackten `http.Client{}` ohne SSRF-Schutz, wenn Benutzer-Avatarbilder aus der OpenID Connect `picture`-Anspruchs-URL heruntergeladen werden. Ein Angreifer, der die URL des Profilbilds seines OIDC-Profils kontrollieren kann, kann den Vikunja-Server dazu zwingen, HTTP-GET-Anfragen an beliebige interne oder Cloud-Metadaten-Endpunkte zu senden. Dies umgeht die SSRF-Schutzmaßnahmen, die im Webhook-System korrekt angewendet werden. Version 2.2.1 behebt das Problem.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

24.03.2026

Moderieren

akzeptiert

Eintrag

VDB-352810

CPE

bereit

EPSS

0.00395

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!