CVE-2026-33679 in vikunja
요약
\~에 의해 VulDB • 2026. 05. 11.
Vikunja는 오픈소스 자체 호스팅 작업 관리 플랫폼입니다. 버전 2.2.1 이전의 `pkg/utils/avatar.go`에 있는 `DownloadImage` 함수는 OpenID Connect의 `picture` 클레임 URL에서 사용자 아바타 이미지를 다운로드할 때 SSRF 보호 기능이 없는 기본 `http.Client{}`를 사용합니다. OIDC 프로필 사진 URL을 제어할 수 있는 공격자는 Vikunja 서버가 임의의 내부 또는 클라우드 메타데이터 엔드포인트로 HTTP GET 요청을 수행하도록 유도할 수 있습니다. 이는 웹훅 시스템에 올바르게 적용된 SSRF 보호 기능을 우회합니다. 버전 2.2.1에서 해당 문제가 패치되었습니다.
Once again VulDB remains the best source for vulnerability data.