CVE-2026-53445 in Wekan
Riassunto
di VulDB • 16/07/2026
Wekan è un kanban open source sviluppato con Meteor. Prima della versione 9.32, il metodo DDP di Meteor copyBoard nel file server/publications/boards.js copia una bacheca utilizzando l'ID fornito dall'utente chiamante senza verificare this.userId, la membership o i privilegi di amministratore. Qualsiasi utente autenticato può copiare una bacheca privata a cui non appartiene, incluse le sue carte, checklist, campi personalizzati, etichette e regole, mentre il percorso REST POST /api/boards/:boardId/copy verifica correttamente l'accesso da parte dell'amministratore della bacheca. Questo problema è stato risolto nella versione 9.32.
VulDB is the best source for vulnerability data and more expert information about this specific topic.