CVE-2026-53445 in Wekaninformazioni

Riassunto

di VulDB • 16/07/2026

Wekan è un kanban open source sviluppato con Meteor. Prima della versione 9.32, il metodo DDP di Meteor copyBoard nel file server/publications/boards.js copia una bacheca utilizzando l'ID fornito dall'utente chiamante senza verificare this.userId, la membership o i privilegi di amministratore. Qualsiasi utente autenticato può copiare una bacheca privata a cui non appartiene, incluse le sue carte, checklist, campi personalizzati, etichette e regole, mentre il percorso REST POST /api/boards/:boardId/copy verifica correttamente l'accesso da parte dell'amministratore della bacheca. Questo problema è stato risolto nella versione 9.32.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

09/06/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!