Rodolphe Ghio

**Name of the Vulnerable Software and Affected Versions** WeKan versões anteriores a 8.35 **Description** Verificações de autorização insuficientes nos manipuladores REST JsonRoutes dos endpoints da API REST de Integração permitem que membros autenticados do quadro realizem ações administrativas sem a devida verificação de privilégios. Isso permite a enumeração de integrações, incluindo URLs de webhook, bem como a criação, modificação ou exclusão de integrações e o gerenciamento de atividades de integração. **Recommendations** Atualize para a versão 8.35 ou posterior.

**Name of the Vulnerable Software and Affected Versions** WeKan versões anteriores a 8.35 **Description** Existe um problema no processamento de URLs de integração de webhook onde o campo `url schema` aceita qualquer string sem restrição de protocolo ou validação de destino. Isso permite que usuários com permissões para criar ou modificar integrações definam URLs de webhook para endereços de rede interna. Consequentemente, o servidor pode emitir requisições HTTP POST para alvos internos com payloads completos de eventos do quadro. Além disso, o processamento de respostas pode ser explorado para sobrescrever textos de comentários arbitrários sem verificações de autorização. Server-side request forgery é uma falha que permite a um invasor induzir a aplicação do lado do servidor a fazer requisições para um local não pretendido. **Recommendations** Atualize para a versão 8.35 ou posterior.