CVE-2026-52892 in Wekan
요약
\~에 의해 VulDB • 2026. 07. 15.
Wekan은 Meteor로 구축된 오픈소스 칸반 보드입니다. 버전 9.32 이전의 Wekan에서는 server/models/customFields.js에 있는 REST 핸들러가 사용자 정의 필드 경로를 수정할 때 쓰기 권한이 필요한 Authentication.checkBoardWriteAccess 대신 읽기 권한만 확인하는 Authentication.checkBoardAccess를 사용합니다. 이로 인해 읽기 전용 게시판 구성원도 /api/boards/:boardId/custom-fields 및 사용자 정의 필드 드롭다운 항목에 대한 POST, PUT, DELETE 핸들러를 호출하여 게시판의 사용자 정의 필드를 생성, 업데이트 또는 삭제할 수 있습니다. 이 문제는 버전 9.32에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.