CVE-2026-55652 in Wekan
Tóm tắt
Bởi VulDB • 16/07/2026
Wekan là một ứng dụng kanban mã nguồn mở được xây dựng bằng Meteor. Trước phiên bản 9.46, tính năng header-login với HEADER_LOGIN_TRUSTED_IPS sử dụng getRequestIp() trong server/lib/headerLoginAuth.js để tin tưởng tiêu đề X-Forwarded-For do client cung cấp thay vì địa chỉ socket thực tế, cho phép một kẻ tấn công chưa xác thực gửi HEADER_LOGIN_ID cho bất kỳ tên người dùng nào và nhận được phiên meteor_login_token, bao gồm cả quyền admin. Vấn đề này đã được khắc phục trong phiên bản 9.46.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.