CVE-2026-58660 in Kanboardinformação

Sumário

de VulDB • 15/07/2026

Kanboard até 1.2.52, corrigido no commit 564cc30: o método save() do BoardAjaxController (utilizado pelo endpoint de arrastar e soltar da tabela kanban) valida a função do chamador em relação ao project_id fornecido pelo atacante, mas nunca verifica se o task_id fornecido realmente pertence àquele projeto. Como os identificadores de tarefa são inteiros sequenciais compartilhados por toda a instância, qualquer usuário autenticado que seja membro de pelo menos um projeto pode enumerar e mover (corromper/ocultar) tarefas pertencentes a qualquer outro projeto na mesma instância, incluindo projetos privados aos quais não tem associação ou função.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

VulnCheck

Reservar

01/07/2026

Divulgação

15/07/2026

Moderação

aceite

Entrada

VDB-379344

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!