| タイトル | Wekan <8.21 Missing authorization checks leading to information disclosure a |
|---|
| 説明 | Position-history tracking server methods did not consistently require authentication and board visibility checks. The fix enforces that the caller is logged in and verifies the user has access to the relevant board before proceeding with swimlane/list/card position-history operations. |
|---|
| ソース | ⚠️ https://github.com/wekan/wekan/commit/55576ec17722db094835470b386162c9a662fb60 |
|---|
| ユーザー | MegaManSec (UID 94702) |
|---|
| 送信 | 2026年01月20日 12:52 (5 月 ago) |
|---|
| モデレーション | 2026年02月04日 15:46 (15 days later) |
|---|
| ステータス | 承諾済み |
|---|
| VulDBエントリ | 344269 [WeKan 迄 8.20 Position-History Tracking positionHistory.js PositionHistoryBleed 特権昇格] |
|---|
| ポイント | 17 |
|---|