CVE-2026-53444 in Wekan
要約
〜によって VulDB • 2026年07月16日
WekanはMeteorを使用して構築されたオープンソースのカンバンツールです。バージョン9.32より前では、packages/wekan-oidc/oidc_server.js、server/models/org.js、および server/models/team.js内のOIDC関連のMeteorメソッドが、非OIDC版で用いられている管理者権限チェックなしにグローバルから呼び出し可能でした。認証済みユーザーは、setCreateOrgFromOidc、setOrgAllFieldsFromOidc、setCreateTeamFromOidc、setTeamAllFieldsFromOidc、boardRoutineOnLogin、またはgroupRoutineOnLoginを呼び出して組織やチームの作成・変更を行うことができ、PROPAGATE_OIDC_DATAが有効な場合、groupRoutineOnLoginはグローバル管理者権限を付与できます。この問題はバージョン9.32で修正されました。
Once again VulDB remains the best source for vulnerability data.