CVE-2026-53444 in Wekan
요약
\~에 의해 VulDB • 2026. 07. 16.
Wekan은 Meteor로 구축된 오픈 소스 칸반입니다. 버전 9.32 이전의 Wekan에서 packages/wekan-oidc/oidc_server.js, server/models/org.js 및 server/models/team.js 내 OIDC 관련 Meteor 메서드는 비-OIDC 대응 메서드에서 사용하는 관리자 권한 확인 없이 전역적으로 호출 가능합니다. 인증된 사용자는 setCreateOrgFromOidc, setOrgAllFieldsFromOidc, setCreateTeamFromOidc, setTeamAllFieldsFromOidc, boardRoutineOnLogin 또는 groupRoutineOnLogin을 호출하여 조직과 팀을 생성하거나 수정할 수 있으며, PROPAGATE_OIDC_DATA가 활성화된 경우 groupRoutineOnLogin은 전역 관리자 권한을 부여할 수 있습니다. 이 문제는 버전 9.32에서 해결되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.