CVE-2026-52890 in Wekan정보

요약

\~에 의해 VulDB • 2026. 07. 15.

Wekan은 Meteor로 구축된 오픈 소스 칸반 보드입니다. 버전 9.31 이전의 Wekan에서는 로그인한 게시판 구성원이 공격자가 제어하는 versions.original.path 및 versions.original.storage 필드를 사용하여 /attachments/insert DDP 메서드를 통해 첨부 파일 문서를 삽입할 수 있습니다. server/permissions/attachments.js의 insert 규칙은 게시판 쓰기 권한만 확인하며, models/lib/fileStoreStrategy.js에 있는 FileStoreStrategyFilesystem.getReadStream()는 저장소 루트 제한(check) 없이 저장된 경로를 스트리밍하므로 /dev/zero와 같은 특수 파일을 통해 임의 파일 읽기 및 서비스 거부(Denial of Service)가 가능합니다. 이 문제는 버전 9.31에서 수정되었습니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

책임이 있는

GitHub M

예약하다

2026. 06. 08.

모더레이션

수락

항목

VDB-379425

EPSS

0.00000

출처

Interested in the pricing of exploits?

See the underground prices here!