CVE-2026-53445 in Wekaninformación

Resumen

por VulDB • 2026-07-16

Wekan es un kanban de código abierto desarrollado con Meteor. Antes de la versión 9.32, el método DDP copyBoard en server/publications/boards.js copia un tablero utilizando el ID proporcionado por el usuario sin verificar this.userId, la membresía o los permisos de administrador. Cualquier usuario autenticado puede copiar un tablero privado al que no pertenece, incluyendo sus tarjetas, listas de verificación (checklists), campos personalizados, etiquetas y reglas, mientras que la ruta REST POST /api/boards/:boardId/copy verifica correctamente el acceso como administrador del tablero. Este problema se corrige en la versión 9.32.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2026-06-09

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379441

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!