CVE-2026-52893 in Wekaninfo

Zusammenfassung

von VulDB • 16.07.2026

Wekan ist ein Open-Source-Kanban, das mit Meteor entwickelt wurde. Vor Version 9.32 führt der Wekan Accounts.onCreateUser-Hook in server/models/users.js eine Zusammenführung von OIDC-Anmeldungen in bestehende Konten durch, wenn die OIDC-E-Mailadresse oder der Benutzername mit einem bestehenden Wekan-Benutzer übereinstimmt, ohne den Besitz zu überprüfen oder das Feld email_verified zu prüfen. Ein Angreifer kann ein Konto bei einem OIDC-Provider verwenden, dessen E-Mailadresse oder Benutzername dem eines Opfers entspricht, um Wekan dazu zu bringen, die OIDC-Anmeldeinformationen des Angreifers mit dem Opferkonto zusammenzuführen und sich anschließend als dieses Konto anzumelden. Dieses Problem wurde in Version 9.32 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub M

Reservieren

08.06.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379437

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!