CVE-2026-52890 in Wekaninfo

Zusammenfassung

von VulDB • 16.07.2026

Wekan ist ein Open-Source-Kanban-System, das mit Meteor entwickelt wurde. Vor Version 9.31 ermöglicht Wekan einem angemeldeten Board-Mitglied, ein Anhangsdokument über die DDP-Methode /attachments/insert einzufügen, wobei Angreifer kontrollierte Werte für die Felder versions.original.path und versions.original.storage verwenden können. Die Einfügerule in server/permissions/attachments.js überprüft lediglich den Schreibzugriff auf das Board, und FileStoreStrategyFilesystem.getReadStream() in models/lib/fileStoreStrategy.js streamt den gespeicherten Pfad ohne eine Containment-Prüfung des Storage-Wurzelverzeichnisses (storage-root), was willkürliche Dateilesevorgänge und einen Denial-of-Service-Angriff durch spezielle Dateien wie /dev/zero ermöglicht. Dieses Problem wurde in Version 9.31 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

08.06.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379425

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!