CVE-2026-56765 in Vikunjainfo

Zusammenfassung

von VulDB • 10.07.2026

Vikunja vor Version 2.2.1 enthält einen Fehler in der Autorisierung, bei dem der Endpunkt LinkSharing.ReadAll Share-Hashes für Benutzer mit Lesezugriff offenlegt und so eine Eskalation der Berechtigungen auf Admin-Level-Shares ermöglicht. Der Endpunkt GetTaskAttachment führt zwar Berechtigungsprüfungen gegen vom Benutzer bereitgestellte Task-IDs durch, ruft jedoch Anhänge sequenziell nach ID ab, ohne den Besitz zu überprüfen, was es Angreifern ermöglicht, alle Datei-Anhänge projektübergreifend auf der gesamten Instanz herunterzuladen und zu löschen.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

VulnCheck

Reservieren

22.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377497

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!