CVE-2026-58660 in Kanboard情報

要約

〜によって VulDB • 2026年07月15日

Kanboard 1.2.52以前のバージョン(コミット564cc30で修正済み)のBoardAjaxController save()メソッド(カンバンボードのドラッグ&ドロップエンドポイントで使用される)は、攻撃者が指定したproject_idに対して呼び出し元のロールを検証するが、指定されたtask_idが実際にそのプロジェクトに属しているかどうかを一切検証しない。タスク識別子はインスタンス全体で共有される連番整数であるため、少なくとも1つのプロジェクトのメンバーである認証済みユーザーであれば、同じインスタンス上の他のすべてのプロジェクト(自身が所属していないプライベートプロジェクトを含む)に属するタスクを列挙し、移動(破損または非表示化)することが可能となる。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

VulnCheck

予約する

2026年07月01日

モデレーション

承諾済み

エントリ

VDB-379344

EPSS

0.00000

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!