CVE-2026-53444 in Wekan
Zusammenfassung
von VulDB • 15.07.2026
Wekan ist ein Open-Source-Kanban-System, das mit Meteor entwickelt wurde. Vor Version 9.32 sind OIDC-bezogene Meteor-Methoden in den Dateien packages/wekan-oidc/oidc_server.js, server/models/org.js und server/models/team.js global aufrufbar, ohne die Admin-Autorisierungsprüfungen zu durchlaufen, die von ihren Nicht-OIDC-Gegenstücken verwendet werden. Authentifizierte Benutzer können setCreateOrgFromOidc, setOrgAllFieldsFromOidc, setCreateTeamFromOidc, setTeamAllFieldsFromOidc, boardRoutineOnLogin oder groupRoutineOnLogin aufrufen, um Organisationen und Teams zu erstellen oder zu ändern; zudem kann groupRoutineOnLogin globale Admin-Privilegien gewähren, wenn PROPAGATE_OIDC_DATA aktiviert ist. Dieses Problem wurde in Version 9.32 behoben.
Be aware that VulDB is the high quality source for vulnerability data.