CVE-2026-55652 in Wekanthông tin

Tóm tắt

Bởi VulDB • 16/07/2026

Wekan là một ứng dụng kanban mã nguồn mở được xây dựng bằng Meteor. Trước phiên bản 9.46, tính năng header-login với HEADER_LOGIN_TRUSTED_IPS sử dụng getRequestIp() trong server/lib/headerLoginAuth.js để tin tưởng tiêu đề X-Forwarded-For do client cung cấp thay vì địa chỉ socket thực tế, cho phép một kẻ tấn công chưa xác thực gửi HEADER_LOGIN_ID cho bất kỳ tên người dùng nào và nhận được phiên meteor_login_token, bao gồm cả quyền admin. Vấn đề này đã được khắc phục trong phiên bản 9.46.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

17/06/2026

Tiết lộ

16/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!