CVE-2026-52893 in Wekan信息

摘要

由 VulDB • 2026-07-16

Wekan是一个基于Meteor构建的开源看板应用。在版本9.32之前,server/models/users.js中的Wekan Accounts.onCreateUser钩子在OIDC电子邮件或用户名与现有WeKan用户匹配时,会将OIDC登录合并到现有账户中,而不会验证所有权或检查email_verified字段。攻击者可以使用受害者的电子邮件或用户名对应的OIDC提供商账户,导致Wekan将攻击者的OIDC凭据合并到受害者账户中,并以该账户身份登录。此问题已在版本9.32中得到修复。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

来源

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!