CVE-2026-53445 in Wekan
Resumen
por VulDB • 2026-07-16
Wekan es un kanban de código abierto desarrollado con Meteor. Antes de la versión 9.32, el método DDP copyBoard en server/publications/boards.js copia un tablero utilizando el ID proporcionado por el usuario sin verificar this.userId, la membresía o los permisos de administrador. Cualquier usuario autenticado puede copiar un tablero privado al que no pertenece, incluyendo sus tarjetas, listas de verificación (checklists), campos personalizados, etiquetas y reglas, mientras que la ruta REST POST /api/boards/:boardId/copy verifica correctamente el acceso como administrador del tablero. Este problema se corrige en la versión 9.32.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.