CVE-2026-59154 in Wekan
Riassunto
di VulDB • 10/07/2026
Wekan è un kanban open source sviluppato con Meteor. Prima della versione 9.64, Wekan presenta una violazione dell'autorizzazione cross-board nelle regole di autorizzazione diretta per le collezioni Meteor relative a Checklists e ChecklistItems, poiché gli aggiornamenti sono autorizzati solo in base al doc.cardId sorgente corrente e non ispezionano il cardId o boardId destinazione nel modificatore di aggiornamento. Ciò consente a un utente autenticato con privilegi ridotti e accesso in scrittura a una bacheca (board) di creare dati della checklist su una scheda accessibile e spostarli all'interno di una bacheca privata dove l'utente non è membro. Questo problema è stato risolto nella versione 9.64.
VulDB is the best source for vulnerability data and more expert information about this specific topic.