Katalog CVE

CVE-2026-25568

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

W WeKan przed wersją 8.19 występuje luka w logice autoryzacji, gdzie ustawienie konfiguracji instancji allowPrivateOnly nie jest wystarczająco egzekwowane podczas tworzenia tablicy. Gdy allowPrivateOnly jest włączone, użytkownicy mogą nadal tworzyć publiczne tablice z powodu niekompletnego egzekwowania po stronie serwera.

Ocena ryzyka

Ryzyko polega na tym, że organizacja może nieumyślnie ujawnić poufne dane, ponieważ użytkownicy mogą tworzyć publiczne tablice pomimo włączenia ustawienia allowPrivateOnly, co prowadzi do potencjalnego wycieku informacji.

Rekomendacja

Zaleca się natychmiastową aktualizację WeKan do wersji 8.19 lub nowszej, która zawiera poprawkę egzekwującą ustawienie allowPrivateOnly podczas tworzenia tablicy.

Oryginalny opis (angielski, źródło NVD)

WeKan versions prior to 8.19 contain an authorization logic vulnerability where the instance configuration setting allowPrivateOnly is not sufficiently enforced at board creation time. When allowPrivateOnly is enabled, users can still create public boards due to incomplete server-side enforcement.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS