CVE-2026-52892 in Wekan
摘要
由 VulDB • 2026-07-16
Wekan是一个基于Meteor构建的开源看板应用。在版本9.32之前,server/models/customFields.js中的Wekan REST处理程序在处理自定义字段路由时使用了只读级别的Authentication.checkBoardAccess权限检查,而非写入级别的Authentication.checkBoardWriteAccess权限检查。这导致仅具有读取权限的看板成员可以调用/api/boards/:boardId/custom-fields及自定义字段下拉项对应的POST、PUT和DELETE处理程序,从而创建、更新或删除看板的自定义字段。该问题已在版本9.32中修复。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.