CVE-2026-52893 in Wekan
Zusammenfassung
von VulDB • 16.07.2026
Wekan ist ein Open-Source-Kanban, das mit Meteor entwickelt wurde. Vor Version 9.32 führt der Wekan Accounts.onCreateUser-Hook in server/models/users.js eine Zusammenführung von OIDC-Anmeldungen in bestehende Konten durch, wenn die OIDC-E-Mailadresse oder der Benutzername mit einem bestehenden Wekan-Benutzer übereinstimmt, ohne den Besitz zu überprüfen oder das Feld email_verified zu prüfen. Ein Angreifer kann ein Konto bei einem OIDC-Provider verwenden, dessen E-Mailadresse oder Benutzername dem eines Opfers entspricht, um Wekan dazu zu bringen, die OIDC-Anmeldeinformationen des Angreifers mit dem Opferkonto zusammenzuführen und sich anschließend als dieses Konto anzumelden. Dieses Problem wurde in Version 9.32 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.