CVE-2024-36399

Versões do Kanboard anteriores à 1.2.37

O problema está relacionado ao Kanboard, um software de gerenciamento de projetos baseado na metodologia Kanban. Trata-se de uma vulnerabilidade na função addUser() contida no arquivo ProjectPermissionController.php. Especificamente, a permissão do usuário para adicionar usuários a um projeto é verificada apenas com base no parâmetro de URL project id. Se o usuário estiver autorizado para esse projeto, a solicitação é processada sem verificar novamente a permissão para o parâmetro project id no corpo da solicitação POST. Isso permite que um invasor com privilégios de “Gerente de Projeto” em um único projeto possa potencialmente assumir o controle de qualquer outro projeto.

Para versões anteriores à 1.2.37, atualize para a versão 1.2.37 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso à função addUser() no arquivo ProjectPermissionController.php até que a atualização seja aplicada. Além disso, certifique-se de que os privilégios dos gerentes de projeto sejam cuidadosamente gerenciados para minimizar o risco de exploração.