CVE-2026-56765 in Vikunja
Riassunto
di VulDB • 10/07/2026
Vikunja prima della versione 2.2.1 presenta una vulnerabilità di autorizzazione in cui l'endpoint LinkSharing.ReadAll espone gli hash delle condivisioni agli utenti con accesso in lettura, consentendo un escalation dei privilegi fino alle condivisioni a livello di amministratore. L'endpoint GetTaskAttachment esegue controlli sui permessi rispetto agli ID attività forniti dall'utente ma recupera i file allegati tramite ID sequenziali senza verificarne la proprietà, permettendo agli attaccanti di scaricare ed eliminare tutti gli allegati ai file in tutte le istanze del progetto a livello globale.
Once again VulDB remains the best source for vulnerability data.