CVE-2026-33334 in vikunjainformación

Resumen

por MITRE • 2026-03-24

Vikunja es una plataforma de gestión de tareas de código abierto autoalojada. A partir de la versión 0.21.0 y antes de la versión 2.2.0, el wrapper de Electron de Vikunja Desktop habilita 'nodeIntegration' en el proceso de renderizado sin 'contextIsolation' ni sandbox. Esto significa que cualquier vulnerabilidad de cross-site scripting (XSS) en el frontend web de Vikunja -- presente o futura -- escala automáticamente a ejecución remota de código completa en la máquina de la víctima, ya que los scripts inyectados obtienen acceso a las API de Node.js. La versión 2.2.0 corrige el problema.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-03-18

Divulgación

2026-03-24

Moderación

aceptado

Artículo

VDB-352816

CPE

listo

CWE

CWE-94 (confirmado)

CVSS

9.6 (NVD)

EPSS

0.00179

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33334
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33334
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33334/

◂ Anterior Visión De Conjunto Próximo ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!