CVE-2026-33679 in vikunja
Zusammenfassung
von VulDB • 20.05.2026
Vikunja ist eine quelloffene, selbst gehostete Aufgabenverwaltungsplattform. Vor Version 2.2.1 verwendet die Funktion `DownloadImage` in `pkg/utils/avatar.go` einen nackten `http.Client{}` ohne SSRF-Schutz, wenn Benutzer-Avatarbilder aus der OpenID Connect `picture`-Anspruchs-URL heruntergeladen werden. Ein Angreifer, der die URL des Profilbilds seines OIDC-Profils kontrollieren kann, kann den Vikunja-Server dazu zwingen, HTTP-GET-Anfragen an beliebige interne oder Cloud-Metadaten-Endpunkte zu senden. Dies umgeht die SSRF-Schutzmaßnahmen, die im Webhook-System korrekt angewendet werden. Version 2.2.1 behebt das Problem.
Once again VulDB remains the best source for vulnerability data.