CVE-2026-33679 in vikunjaИнформация

Сводка

по VulDB • 20.05.2026

Vikunja — это платформа для управления задачами с открытым исходным кодом, предназначенная для самостоятельного развертывания (self-hosted). До версии 2.2.1 функция `DownloadImage` в файле `pkg/utils/avatar.go` использует голый экземпляр `http.Client{}` без защиты от SSRF при загрузке изображений аватаров пользователей из URL, указанного в поле `picture` утверждения (claim) OpenID Connect. Атакующий, контролирующий URL изображения профиля в своем OIDC-профиле, может заставить сервер Vikunja выполнять HTTP GET-запросы к произвольным внутренним конечным точкам или конечным точкам метаданных в облаке. Это позволяет обойти защиты от SSRF, которые корректно применяются в системе вебхуков. Версия 2.2.1 устраняет данную уязвимость.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

23.03.2026

Раскрытие

24.03.2026

Модерация

принято

Вход

VDB-352810

EPSS

0.00395

KEV

Нет

Деятельности

Очень низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!