CVE-2026-40103

Nome do Software Vulnerável e Versões Afetadas Vikunja versões anteriores a 2.3.0

Descrição Vikunja, uma plataforma de gerenciamento de tarefas auto-hospedada, possui um problema de aplicação de permissões de token API com escopo para rotas de plano de fundo do projeto personalizadas. Um token com apenas a permissão projects.background pode excluir com sucesso um plano de fundo do projeto, enquanto um token com apenas a permissão projects.background delete é rejeitado. Este é um bypass de autorização de token com escopo. O problema afeta o endpoint /api/v1/projects/:project/background, especificamente o método DELETE. A função CanDoAPIRoute() lida incorretamente com as verificações de permissão, voltando para o grupo pai e reconstruindo a permissão filha a partir dos segmentos do caminho, permitindo que um token com projects.background ignore o requisito pretendido de projects.background delete para excluir planos de fundo do projeto. Isso pode permitir que um invasor com um token API válido e permissão projects.background exclua planos de fundo do projeto.

Recomendações Atualize para a versão 2.3.0 ou posterior.