| タイトル | Wekan <8.21 Authorization bypass (CWE-284) |
|---|
| 説明 | WIP limit related operations did not consistently enforce that only authorized users (typically and normally board admins) could change list WIP settings, allowing authentication bypasses for Wekan WIP. The fix adds explicit authorization checks to ensure only permitted users can modify WIP limits.
|
|---|
| ソース | ⚠️ https://github.com/wekan/wekan/commit/8c0b4f79d8582932528ec2fdf2a4487c86770fb9 |
|---|
| ユーザー | MegaManSec (UID 94702) |
|---|
| 送信 | 2026年01月20日 12:58 (5 月 ago) |
|---|
| モデレーション | 2026年02月05日 11:52 (16 days later) |
|---|
| ステータス | 重複 |
|---|
| VulDBエントリ | 344267 [WeKan 迄 8.20 Attachment Storage models/lists.js applyWipLimit ListWIPBleed 特権昇格] |
|---|
| ポイント | 0 |
|---|