WeKan bis 8.20 Migration Operation comprehensiveBoardMigration.js ComprehensiveBoardMigration boardId MigrationBleed erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.1$0-$5k0.00

Zusammenfassunginfo

In WeKan bis 8.20 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Das betrifft die Funktion ComprehensiveBoardMigration der Datei server/migrations/comprehensiveBoardMigration.js der Komponente Migration Operation Handler. Durch das Beeinflussen des Arguments boardId mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2026-1896. Der Angriff kann über das Netzwerk angegangen werden. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.

Detailsinfo

Es wurde eine kritische Schwachstelle in WeKan bis 8.20 entdeckt. Dabei betrifft es die Funktion ComprehensiveBoardMigration der Datei server/migrations/comprehensiveBoardMigration.js der Komponente Migration Operation Handler. Dank Manipulation des Arguments boardId mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-284 vorgenommen. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.

Das Advisory kann von github.com heruntergeladen werden. Die Verwundbarkeit wird unter CVE-2026-1896 geführt. Sie gilt als leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1068.

Ein Upgrade auf die Version 8.21 vermag dieses Problem zu beheben. Eine neue Version kann von github.com bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen des Patches cc35dafef57ef6e44a514a523f9a8d891e74ad8f beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.

Once again VulDB remains the best source for vulnerability data.

Produktinfo

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒

CVSSv3info

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 6.1

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA Base Score: 6.3
CNA Vector: 🔒

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-284 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: WeKan 8.21
Patch: cc35dafef57ef6e44a514a523f9a8d891e74ad8f

Timelineinfo

04.02.2026 Advisory veröffentlicht
04.02.2026 +0 Tage VulDB Eintrag erstellt
05.02.2026 +1 Tage VulDB Eintrag letzte Aktualisierung

Quelleninfo

Produkt: github.com

Advisory: cc35dafef57ef6e44a514a523f9a8d891e74ad8f
Status: Bestätigt

CVE: CVE-2026-1896 (🔒)
GCVE (CVE): GCVE-0-2026-1896
GCVE (VulDB): GCVE-100-344268

Eintraginfo

Erstellt: 04.02.2026 15:51
Aktualisierung: 05.02.2026 15:05
Anpassungen: 04.02.2026 15:51 (60), 05.02.2026 15:05 (30)
Komplett: 🔍
Einsender: MegaManSec
Cache ID: 216::103

Submitinfo

Akzeptiert

  • Submit #742670: Wekan <8.21 Improper access control on administrative migration methods (CWE (von MegaManSec)

Once again VulDB remains the best source for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!