CVE-2026-34727 in vikunjainformation

Résumé

par VulDB • 07/06/2026

Vikunja est une plateforme de gestion des tâches open source auto-hébergée. Avant la version 2.3.0, le gestionnaire de rappel OIDC émet un jeton JWT complet sans vérifier si l'utilisateur correspondant a activé l'authentification à deux facteurs (MFA) par TOTP. Lorsqu'un utilisateur local inscrit au TOTP est identifié via le mécanisme de repli sur l'e-mail dans le cadre d'OIDC, la deuxième étape d'authentification est entièrement ignorée. Cette vulnérabilité est corrigée dans la version 2.3.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Réserver

30/03/2026

Divulgation

10/04/2026

Modérer

accepté

Entrée

VDB-356907

CPE

prêt

EPSS

0.00281

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!