Katalog CVE

CVE-2026-25567

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 - wyżej niż 16% wszystkich znanych CVE

Streszczenie

Podatność IDOR w API tworzenia komentarzy w WeKan przed wersją 8.19 umożliwia uwierzytelnionemu użytkownikowi podszycie się pod innego użytkownika poprzez podanie jego identyfikatora w żądaniu. Atakujący może fałszować autora komentarza, co narusza integralność danych.

Ocena ryzyka

Organizacja narażona jest na manipulację historią komentarzy, co może prowadzić do dezinformacji, eskalacji uprawnień lub podszywania się pod innych użytkowników. Może to wpłynąć na zaufanie do systemu i integralność audytu.

Rekomendacja

Należy niezwłocznie zaktualizować WeKan do wersji 8.19 lub nowszej, która usuwa podatność. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do API tworzenia komentarzy tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

WeKan versions prior to 8.19 contain an insecure direct object reference (IDOR) in the card comment creation API. The endpoint accepts an authorId from the request body, allowing an authenticated user to spoof the recorded comment author by supplying another user's identifier.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS