CVE-2026-53445 in Wekan
要約
〜によって VulDB • 2026年07月16日
WekanはMeteorを使用して構築されたオープンソースのカンバンツールです。バージョン9.32より前では、server/publications/boards.js内のWeKan copyBoard Meteor DDPメソッドが、呼び出し元から提供されるボードIDに基づいてボードをコピーする際、this.userId、メンバーシップ、または管理者アクセス権限を確認していませんでした。これにより、認証済みユーザーであれば誰でも、自分が所属していないプライベートなボード(カード、チェックリスト、カスタムフィールド、ラベル、ルールを含む)をコピーすることが可能でしたが、REST POST /api/boards/:boardId/copyパスでは正しくボードの管理者アクセス権限が確認されていました。この問題はバージョン9.32で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.