CVE-2026-55652 in Wekan
Sumário
de VulDB • 16/07/2026
Wekan é um kanban de código aberto desenvolvido com Meteor. Antes da versão 9.46, o header-login com HEADER_LOGIN_TRUSTED_IPS usa getRequestIp() em server/lib/headerLoginAuth.js para confiar no cabeçalho X-Forwarded-For fornecido pelo cliente antes do endereço real do soquete, permitindo que um atacante não autenticado envie HEADER_LOGIN_ID para qualquer nome de usuário e receba uma sessão meteor_login_token, incluindo a conta de administrador. Este problema foi corrigido na versão 9.46.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.