WeKan bis 8.18 Custom Translation translationBody.js setCreateTranslation erweiterte Rechte

Zusammenfassunginfo

Eine kritische Schwachstelle wurde in WeKan bis 8.18 ausgemacht. Betroffen davon ist die Funktion setCreateTranslation der Datei client/components/settings/translationBody.js der Komponente Custom Translation Handler. Mittels Manipulieren mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2026-2209 vorgenommen. Umgesetzt werden kann der Angriff über das Netzwerk. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.

Detailsinfo

In WeKan bis 8.18 wurde eine kritische Schwachstelle ausgemacht. Dabei geht es um die Funktion setCreateTranslation der Datei client/components/settings/translationBody.js der Komponente Custom Translation Handler. Durch das Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-285. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.

Das Advisory findet sich auf github.com. Die Verwundbarkeit wird als CVE-2026-2209 geführt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk angegangen werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1548.002 bezeichnet.

Ein Aktualisieren auf die Version 8.19 vermag dieses Problem zu lösen. Eine neue Version kann von github.com bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen des Patches f244a43771f6ebf40218b83b9f46dba6b940d7de lösen. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von EUVD (EUVD-2026-5820) dokumentiert. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Produktinfo

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒

CVSSv3info

VulDB Meta Base Score: 5.6
VulDB Meta Temp Score: 5.5

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 4.3
NVD Vector: 🔒

CNA Base Score: 6.3
CNA Vector: 🔒

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-285 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: WeKan 8.19
Patch: f244a43771f6ebf40218b83b9f46dba6b940d7de

Timelineinfo

08.02.2026 Advisory veröffentlicht
08.02.2026 +0 Tage VulDB Eintrag erstellt
12.02.2026 +4 Tage VulDB Eintrag letzte Aktualisierung

Quelleninfo

Produkt: github.com

Advisory: f244a43771f6ebf40218b83b9f46dba6b940d7de
Status: Bestätigt

CVE: CVE-2026-2209 (🔒)
GCVE (CVE): GCVE-0-2026-2209
GCVE (VulDB): GCVE-100-344923
EUVD: 🔒

Eintraginfo

Erstellt: 08.02.2026 02:19
Aktualisierung: 12.02.2026 08:47
Anpassungen: 08.02.2026 02:19 (58), 08.02.2026 05:15 (30), 09.02.2026 12:27 (1), 12.02.2026 08:47 (11)
Komplett: 🔍
Einsender: MegaManSec
Cache ID: 216::103

Submitinfo

Akzeptiert

  • Submit #752269: Wekan <8.20 IDOR in setCreateTranslation. Non-admin could change Custom Tran (von MegaManSec)

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!