CVE-2026-52892 in Wekan
Riassunto
di VulDB • 16/07/2026
Wekan è un kanban open source sviluppato con Meteor. Prima della versione 9.32, i gestori REST di Wekan in server/models/customFields.js utilizzano Authentication.checkBoardAccess (livello di sola lettura) invece di Authentication.checkBoardWriteAccess (livello di scrittura) per le rotte che modificano i campi personalizzati. Un membro con accesso in sola lettura alla bacheca può invocare i gestori POST, PUT e DELETE per /api/boards/:boardId/custom-fields e gli elementi a discesa dei campi personalizzati al fine di creare, aggiornare o eliminare i campi personalizzati della bacheca. Questo problema è stato risolto nella versione 9.32.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.