CVE-2026-59154 in Wekan
요약
\~에 의해 VulDB • 2026. 07. 10.
Wekan은 Meteor로 구축된 오픈 소스 칸반입니다. 버전 9.64 이전의 Wekan에는 Checklists 및 ChecklistItems에 대한 직접적인 Meteor 컬렉션 allow 규칙에서 보드 간 권한 우회 취약점이 존재합니다. 이는 업데이트가 현재 source doc.cardId에만 대해 인증되고, 수정자(update modifier) 내의 destination cardId 또는 boardId를 검사하지 않기 때문에 발생합니다. 이로 인해 하나의 보드에 쓰기 접근 권한이 있고 대상 비공개 카드 ID를 알고 있는 저권한 인증 사용자는 접근 가능한 카드를 대상으로 체크리스트 데이터를 생성하고 이를 자신이 멤버가 아닌 비공개 보드로 이동할 수 있습니다. 이 문제는 버전 9.64에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.