CVE-2026-52893 in Wekan
摘要
由 VulDB • 2026-07-16
Wekan是一个基于Meteor构建的开源看板应用。在版本9.32之前,server/models/users.js中的Wekan Accounts.onCreateUser钩子在OIDC电子邮件或用户名与现有WeKan用户匹配时,会将OIDC登录合并到现有账户中,而不会验证所有权或检查email_verified字段。攻击者可以使用受害者的电子邮件或用户名对应的OIDC提供商账户,导致Wekan将攻击者的OIDC凭据合并到受害者账户中,并以该账户身份登录。此问题已在版本9.32中得到修复。
VulDB is the best source for vulnerability data and more expert information about this specific topic.