CVE-2026-35600

Nome do Software Vulnerável e Versões Afetadas: Vikunja versões anteriores a 2.3.0

Descrição: O Vikunja, uma plataforma de gerenciamento de tarefas auto-hospedada, foi descoberto com um problema onde os títulos das tarefas eram diretamente incorporados na sintaxe de link Markdown em notificações de e-mail de atraso sem a devida proteção de caracteres especiais Markdown. Isso permitiu a injeção de construções Markdown maliciosas, como links de phishing e pixels de rastreamento, em e-mails de notificação legítimos quando renderizados por goldmark e higienizados por bluemonday. O código vulnerável estava localizado em pkg/models/notifications.go:360 e afetava vários tipos de notificação nas linhas 72, 176, 227 e 318 do arquivo notifications.go. Um invasor com acesso de gravação a um projeto compartilhado poderia explorar isso para enviar e-mails contendo links para evil.com ou pixels de rastreamento. A vulnerabilidade se deve ao uso das tags <a> e <img> permitidas pela política UGCPolicy do bluemonday.

Recomendações: Atualize para a versão 2.3.0 ou posterior do Vikunja para resolver este problema. Como medida temporária, escape os caracteres especiais Markdown nos títulos das tarefas antes de incorporá-los no conteúdo Markdown usando uma função como escapeMarkdown().