CVE-2026-52890 in Wekan情報

要約

〜によって VulDB • 2026年07月15日

WekanはMeteorを使用して構築されたオープンソースのカンバンツールです。バージョン9.31より前では、ログイン済みのボードメンバーが攻撃者が制御するversions.original.pathおよびversions.original.storageフィールド値を用いて/attachments/insert DDPメソッド経由で添付文書を挿入することが可能でした。server/permissions/attachments.js内のinsertルールはボードの書き込みアクセスのみをチェックし、models/lib/fileStoreStrategy.js内のFileStoreStrategyFilesystem.getReadStream()はストレージルートの包含チェックを行わずに保存されたパスをストリーミングするため、任意のファイル読み取りおよび/dev/zeroなどの特殊ファイルを通じたサービス拒否(DoS)が可能でした。この問題はバージョン9.31で修正されています。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub M

予約する

2026年06月08日

モデレーション

承諾済み

エントリ

VDB-379425

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!