Katalog CVE

CVE-2026-27575

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Vikunja to platforma do zarządzania zadaniami, która przed wersją 2.0.0 pozwalała użytkownikom na ustawianie słabych haseł bez wymogu minimalnej siły. Dodatkowo, aktywne sesje pozostają ważne po zmianie hasła przez użytkownika.

Ocena ryzyka

Atakujący, który przejmie konto (np. poprzez atak siłowy lub wykorzystanie skradzionych danych logowania), może utrzymać stały dostęp nawet po zresetowaniu hasła przez ofiarę, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 2.0.0 lub nowszej, aby skorzystać z poprawek dotyczących wymagań dotyczących haseł oraz zarządzania sesjami.

Oryginalny opis (angielski, źródło NVD)

Vikunja is an open-source self-hosted task management platform. Prior to version 2.0.0, the application allows users to set weak passwords (e.g., 1234, password) without enforcing minimum strength requirements. Additionally, active sessions remain valid after a user changes their password. An attacker who compromises an account (via brute-force or credential stuffing) can maintain persistent access even after the victim resets their password. Version 2.0.0 contains a fix.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS