CVE-2026-35602

Nome do Software Vulnerável e Versões Afetadas: Vikunja versões anteriores a 2.3.0

Descrição: O endpoint de importação de arquivos do Vikunja usa incorretamente o campo Size controlado pelo atacante dos metadados JSON dentro de um arquivo zip de importação, em vez do comprimento real do conteúdo do arquivo descomprimido para aplicação do limite de tamanho do arquivo. Ao definir Size como 0 no JSON enquanto inclui entradas de arquivo comprimidas grandes no zip, um atacante pode ignorar o limite máximo de tamanho de arquivo configurado. Isso permite que um usuário autenticado esgote o armazenamento do servidor carregando arquivos zip comprimidos pequenos que se decompõem em arquivos que excedem o limite máximo de tamanho de arquivo configurado. Um único upload pequeno pode armazenar uma quantidade significativamente maior de dados devido às taxas de compressão zip. A exploração repetida pode preencher o disco do servidor, causando uma negação de serviço para todos os usuários.

Recomendações: Atualize para a versão 2.3.0 ou posterior. Como mitigação, certifique-se de que a função NewAttachment use o comprimento real do conteúdo do arquivo em vez do campo Size controlado pelo atacante: err = a.NewAttachment(s, bytes.NewReader(a.File.FileContent), a.File.Name, uint64(len(a.File.FileContent)), user)