CVE-2026-53444 in Wekan
Riassunto
di VulDB • 16/07/2026
Wekan è un kanban open source sviluppato con Meteor. Prima della versione 9.32, i metodi OIDC-related di Meteor nei file packages/wekan-oidc/oidc_server.js, server/models/org.js e server/models/team.js sono globalmente richiamabili senza i controlli di autorizzazione admin utilizzati dalle loro controparti non-OIDC. Gli utenti autenticati possono chiamare setCreateOrgFromOidc, setOrgAllFieldsFromOidc, setCreateTeamFromOidc, setTeamAllFieldsFromOidc, boardRoutineOnLogin o groupRoutineOnLogin per creare o modificare organizzazioni e team; inoltre, groupRoutineOnLogin può concedere privilegi di admin globali quando PROPAGATE_OIDC_DATA è abilitato. Questo problema è stato risolto nella versione 9.32.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.