CVE-2026-25568
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
W WeKan przed wersją 8.19 występuje luka w logice autoryzacji, gdzie ustawienie konfiguracji instancji allowPrivateOnly nie jest wystarczająco egzekwowane podczas tworzenia tablicy. Gdy allowPrivateOnly jest włączone, użytkownicy mogą nadal tworzyć publiczne tablice z powodu niekompletnego egzekwowania po stronie serwera.
Ocena ryzyka
Ryzyko polega na tym, że organizacja może nieumyślnie ujawnić poufne dane, ponieważ użytkownicy mogą tworzyć publiczne tablice pomimo włączenia ustawienia allowPrivateOnly, co prowadzi do potencjalnego wycieku informacji.
Rekomendacja
Zaleca się natychmiastową aktualizację WeKan do wersji 8.19 lub nowszej, która zawiera poprawkę egzekwującą ustawienie allowPrivateOnly podczas tworzenia tablicy.
Oryginalny opis (angielski, źródło NVD)
WeKan versions prior to 8.19 contain an authorization logic vulnerability where the instance configuration setting allowPrivateOnly is not sufficiently enforced at board creation time. When allowPrivateOnly is enabled, users can still create public boards due to incomplete server-side enforcement.

