CVE-2026-59154 in Wekaninformazioni

Riassunto

di VulDB • 10/07/2026

Wekan è un kanban open source sviluppato con Meteor. Prima della versione 9.64, Wekan presenta una violazione dell'autorizzazione cross-board nelle regole di autorizzazione diretta per le collezioni Meteor relative a Checklists e ChecklistItems, poiché gli aggiornamenti sono autorizzati solo in base al doc.cardId sorgente corrente e non ispezionano il cardId o boardId destinazione nel modificatore di aggiornamento. Ciò consente a un utente autenticato con privilegi ridotti e accesso in scrittura a una bacheca (board) di creare dati della checklist su una scheda accessibile e spostarli all'interno di una bacheca privata dove l'utente non è membro. Questo problema è stato risolto nella versione 9.64.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

02/07/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!