CVE-2026-52890 in WekanИнформация

Сводка

по VulDB • 16.07.2026

Wekan — это канбан-доска с открытым исходным кодом, созданная на базе Meteor. До версии 9.31 Wekan позволяла зарегистрированному участнику доски вставлять документ через метод DDP /attachments/insert, используя контролируемые злоумышленником значения полей versions.original.path и versions.original.storage. Правило insert в файле server/permissions/attachments.js проверяет только наличие прав на запись к доске, а функция FileStoreStrategyFilesystem.getReadStream() из models/lib/fileStoreStrategy.js передает содержимое сохраненного пути без проверки ограничения корневой директорией хранилища (storage-root containment check), что позволяет произвольно читать файлы и вызывать отказ в обслуживании через специальные файлы, такие как /dev/zero. Эта проблема исправлена в версии 9.31.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

08.06.2026

Раскрытие

16.07.2026

Модерация

принято

Вход

VDB-379425

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!