CVE-2026-34727

Nome do Software Vulnerável e Versões Afetadas: Vikunja versões anteriores a 2.3.0

Descrição: Uma falha existe no manipulador de callback do OIDC, onde um token JWT completo é emitido sem verificar o status de autenticação de dois fatores TOTP para o usuário correspondente. Especificamente, quando um usuário local com TOTP habilitado é correspondido através do mecanismo de fallback de e-mail do OIDC, o segundo fator é ignorado. Isso permite que um invasor que possa se autenticar no provedor OIDC com um endereço de e-mail correspondente obtenha acesso total sem um desafio de segundo fator, comprometendo a segurança da inscrição TOTP. Esta questão é um pré-requisito para uma aquisição de conta de fallback de e-mail OIDC, potencialmente permitindo ignorar a autenticação de dois fatores de senha e TOTP.

Recomendações: Atualize para a versão 2.3.0 ou posterior. Como mitigação, adicione uma verificação TOTP no callback do OIDC antes de emitir o JWT.