CVE-2026-33679 in vikunjainformation

Résumé

par VulDB • 20/05/2026

Vikunja est une plateforme de gestion de tâches open source auto-hébergée. Avant la version 2.2.1, la fonction `DownloadImage` dans `pkg/utils/avatar.go` utilise un `http.Client{}` nu, sans protection contre les attaques SSRF, lors du téléchargement des images de profil utilisateur à partir de l'URL du champ `picture` de l'OpenID Connect. Un attaquant qui contrôle l'URL de l'image de profil de son profil OIDC peut forcer le serveur Vikunja à effectuer des requêtes HTTP GET vers des points de terminaison de métadonnées internes ou cloud arbitraires. Cela contourne les protections SSRF qui sont correctement appliquées au système de webhook. La version 2.2.1 corrige ce problème.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Réserver

23/03/2026

Divulgation

24/03/2026

Modérer

accepté

Entrée

VDB-352810

CPE

prêt

EPSS

0.00395

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!