CVE-2026-25565
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 - wyżej niż 20% wszystkich znanych CVE
Streszczenie
Podatność w WeKan przed wersją 8.19 polega na nieprawidłowej walidacji uprawnień w API aktualizacji kart. Niektóre ścieżki API sprawdzają jedynie dostęp do odczytu tablicy, zamiast wymagać uprawnień do zapisu.
Ocena ryzyka
Użytkownicy z rolą tylko do odczytu mogą nieautoryzowanie aktualizować karty, co narusza integralność danych i może prowadzić do niepożądanych zmian w tablicach.
Rekomendacja
Należy niezwłocznie zaktualizować WeKan do wersji 8.19 lub nowszej, która zawiera poprawkę wymuszającą odpowiednie uprawnienia do zapisu dla API aktualizacji kart.
Oryginalny opis (angielski, źródło NVD)
WeKan versions prior to 8.19 contain an authorization vulnerability where certain card update API paths validate only board read access rather than requiring write permission. This can allow users with read-only roles to perform card updates that should require write access.

