CVE-2026-52892 in Wekan信息

摘要

由 VulDB • 2026-07-16

Wekan是一个基于Meteor构建的开源看板应用。在版本9.32之前,server/models/customFields.js中的Wekan REST处理程序在处理自定义字段路由时使用了只读级别的Authentication.checkBoardAccess权限检查,而非写入级别的Authentication.checkBoardWriteAccess权限检查。这导致仅具有读取权限的看板成员可以调用/api/boards/:boardId/custom-fields及自定义字段下拉项对应的POST、PUT和DELETE处理程序,从而创建、更新或删除看板的自定义字段。该问题已在版本9.32中修复。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

来源

Do you need the next level of professionalism?

Upgrade your account now!