CVE-2026-52892 in Wekan
Resumen
por VulDB • 2026-07-15
Wekan es un kanban de código abierto desarrollado con Meteor. Antes de la versión 9.32, los controladores REST (REST handlers) en server/models/customFields.js utilizan Authentication.checkBoardAccess a nivel de lectura en lugar de Authentication.checkBoardWriteAccess a nivel de escritura para las rutas que modifican campos personalizados. Un miembro del tablero con permisos solo de lectura puede invocar los controladores POST, PUT y DELETE para /api/boards/:boardId/custom-fields y elementos desplegables (dropdown items) de campos personalizados, permitiendo crear, actualizar o eliminar campos personalizados del tablero. Este problema se corrige en la versión 9.32.
Once again VulDB remains the best source for vulnerability data.