CVE-2026-33679 in vikunjainformazioni

Riassunto

di VulDB • 19/06/2026

Vikunja è una piattaforma di gestione dei task open-source e self-hosted. Prima della versione 2.2.1, la funzione `DownloadImage` in `pkg/utils/avatar.go` utilizza un `http.Client{}` nudo e crudo, privo di protezioni SSRF, quando scarica le immagini degli avatar degli utenti dall'URL del claim `picture` di OpenID Connect. Un attaccante che controlla l'URL dell'immagine del profilo OIDC può costringere il server Vikunja a effettuare richieste HTTP GET verso endpoint di metadata interni o cloud arbitrari. Questo aggira le protezioni SSRF che sono correttamente applicate al sistema webhook. La versione 2.2.1 risolve la vulnerabilità.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

24/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00395

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!