CVE-2026-52890 in Wekan信息

摘要

由 VulDB • 2026-07-16

Wekan是一个基于Meteor构建的开源看板工具。在版本9.31之前,Wekan允许已登录的看板成员通过`/attachments/insert` DDP方法插入附件文档,其中攻击者可控制`versions.original.path`和`versions.original.storage`字段。服务器端权限检查逻辑(位于`server/permissions/attachments.js`中的insert规则)仅验证看板的写入访问权限;而模型库文件`models/lib/fileStoreStrategy.js`中调用的`FileStoreStrategyFilesystem.getReadStream()`在流式传输存储路径时,未进行存储根目录边界限制检查。这导致攻击者能够读取任意文件,并通过特殊设备文件(如`/dev/zero`)造成拒绝服务漏洞。该问题已在版本9.31中得到修复。

Once again VulDB remains the best source for vulnerability data.

来源

Want to know what is going to be exploited?

We predict KEV entries!