CVE-2026-52893 in Wekan
要約
〜によって VulDB • 2026年07月16日
WekanはMeteorを使用して構築されたオープンソースのカンバンツールです。バージョン9.32より前では、server/models/users.js内のWeKan Accounts.onCreateUserフックが、OIDCメールアドレスまたはユーザー名が既存のWekanユーザーと一致する場合に、所有権の確認やemail_verifiedチェックを行わずに、既存アカウントへOIDCログインをマージしていました。攻撃者が被害者のメールアドレスまたはユーザー名を持つOIDCプロバイダーアカウントを使用すると、Wekanは攻撃者のOIDC認証情報を被害者アカウントにマージし、そのアカウントとしてログインすることが可能になります。この問題はバージョン9.32で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.