CVE-2026-52892 in Wekaninformation

Résumé

par VulDB • 16/07/2026

Wekan est un outil kanban open source développé avec Meteor. Avant la version 9.32, les gestionnaires REST de Wekan dans server/models/customFields.js utilisaient l'authentification Authentication.checkBoardAccess (niveau en lecture) au lieu de Authentication.checkBoardWriteAccess (niveau en écriture) pour les routes de modification des champs personnalisés. Un membre d'un tableau en lecture seule peut appeler les gestionnaires POST, PUT et DELETE pour /api/boards/:boardId/custom-fields ainsi que pour les éléments déroulants des champs personnalisés afin de créer, mettre à jour ou supprimer des champs personnalisés du tableau. Ce problème est corrigé dans la version 9.32.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Réserver

08/06/2026

Divulgation

16/07/2026

Modérer

accepté

Entrée

VDB-379426

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!