CVE-2026-33675 in go-vikunja vikunjainformación

Resumen

Vikunja es una plataforma de gestión de tareas de código abierto autoalojada. Antes de la versión 2.2.1, las funciones auxiliares de migración 'DownloadFile' y 'DownloadFileWithHeaders' en 'pkg/modules/migration/helpers.go' realizan solicitudes HTTP GET arbitrarias sin ninguna protección SSRF. Cuando un usuario activa una migración de Todoist o Trello, las URL de archivos adjuntos de la respuesta de la API de terceros se pasan directamente a estas funciones, permitiendo a un atacante forzar al servidor de Vikunja a obtener recursos de red internos y devolver la respuesta como un archivo adjunto de tarea descargable. La versión 2.2.1 corrige el problema.

Responsable

GitHub_M

Reservar

2026-03-23

Divulgación

2026-03-24

Voces

VulDB provides additional information and datapoints for this CVE:

IDVulnerabilidadCWEExpConCVE
352806go-vikunja File Attachment helpers.go escalada de privilegios918No está definidoArreglo oficialCVE-2026-33675

Descripción

CPE

CWE

CVSS

Hazañas

Historia

Diferencia

Relacionar

Inteligencia de amenazas

API JSON

API XML

API CSV

AnteriorVisión De ConjuntoPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!