CVE-2026-52892 in Wekaninformación

Resumen

por VulDB • 2026-07-15

Wekan es un kanban de código abierto desarrollado con Meteor. Antes de la versión 9.32, los controladores REST (REST handlers) en server/models/customFields.js utilizan Authentication.checkBoardAccess a nivel de lectura en lugar de Authentication.checkBoardWriteAccess a nivel de escritura para las rutas que modifican campos personalizados. Un miembro del tablero con permisos solo de lectura puede invocar los controladores POST, PUT y DELETE para /api/boards/:boardId/custom-fields y elementos desplegables (dropdown items) de campos personalizados, permitiendo crear, actualizar o eliminar campos personalizados del tablero. Este problema se corrige en la versión 9.32.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2026-06-08

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379426

CPE

listo

EPSS

0.00259

KEV

no

Actividades

bajo

Fuentes

Do you know our Splunk app?

Download it now for free!