CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-27575

Critical
Published: Translated: NVD NIST

Summary

Vikunja to platforma do zarządzania zadaniami, która przed wersją 2.0.0 pozwalała użytkownikom na ustawianie słabych haseł bez wymogu minimalnej siły. Dodatkowo, aktywne sesje pozostają ważne po zmianie hasła przez użytkownika.

Risk Assessment

Atakujący, który przejmie konto (np. poprzez atak siłowy lub wykorzystanie skradzionych danych logowania), może utrzymać stały dostęp nawet po zresetowaniu hasła przez ofiarę, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację do wersji 2.0.0 lub nowszej, aby skorzystać z poprawek dotyczących wymagań dotyczących haseł oraz zarządzania sesjami.

Original NVD description (English source)

Vikunja is an open-source self-hosted task management platform. Prior to version 2.0.0, the application allows users to set weak passwords (e.g., 1234, password) without enforcing minimum strength requirements. Additionally, active sessions remain valid after a user changes their password. An attacker who compromises an account (via brute-force or credential stuffing) can maintain persistent access even after the victim resets their password. Version 2.0.0 contains a fix.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS