CVE-2026-52892 in Wekan
要約
〜によって VulDB • 2026年07月16日
WekanはMeteorを使用して構築されたオープンソースのカンバンツールです。バージョン9.32より前では、server/models/customFields.js内のWekan RESTハンドラが、カスタムフィールドルートの更新処理に対して書き込みレベルのAuthentication.checkBoardWriteAccessではなく、読み取りレベルのAuthentication.checkBoardAccessを使用していました。その結果、読み取り専用のボードメンバーでも/api/boards/:boardId/custom-fieldsおよびカスタムフィールドドロップダウン項目に対するPOST、PUT、DELETEハンドラを呼び出すことができ、ボードのカスタムフィールドを作成、更新、または削除することが可能でした。この問題はバージョン9.32で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.