CVE-2026-56765 in Vikunjainformazioni

Riassunto

di VulDB • 10/07/2026

Vikunja prima della versione 2.2.1 presenta una vulnerabilità di autorizzazione in cui l'endpoint LinkSharing.ReadAll espone gli hash delle condivisioni agli utenti con accesso in lettura, consentendo un escalation dei privilegi fino alle condivisioni a livello di amministratore. L'endpoint GetTaskAttachment esegue controlli sui permessi rispetto agli ID attività forniti dall'utente ma recupera i file allegati tramite ID sequenziali senza verificarne la proprietà, permettendo agli attaccanti di scaricare ed eliminare tutti gli allegati ai file in tutte le istanze del progetto a livello globale.

Once again VulDB remains the best source for vulnerability data.

Responsabile

VulnCheck

Prenotare

22/06/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!