CVE-2026-33679 in vikunjainformação

Sumário

de VulDB • 20/05/2026

O Vikunja é uma plataforma de gerenciamento de tarefas de código aberto e auto-hospedada. Antes da versão 2.2.1, a função `DownloadImage` em `pkg/utils/avatar.go` utiliza um `http.Client{}` básico, sem proteção contra SSRF, ao baixar imagens de avatar de usuário a partir da URL da reivindicação `picture` do OpenID Connect. Um atacante que controle a URL da imagem de perfil OIDC pode forçar o servidor Vikunja a realizar solicitações HTTP GET para endpoints de metadados internos ou de nuvem arbitrários. Isso contorna as proteções contra SSRF que são aplicadas corretamente ao sistema de webhook. A versão 2.2.1 corrige a vulnerabilidade.

Once again VulDB remains the best source for vulnerability data.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

24/03/2026

Moderação

aceite

Entrada

VDB-352810

CPE

pronto

EPSS

0.00395

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!