CVE-2026-41455

Name of the Vulnerable Software and Affected Versions WeKan versões anteriores a 8.35

Description Existe um problema no processamento de URLs de integração de webhook onde o campo url schema aceita qualquer string sem restrição de protocolo ou validação de destino. Isso permite que usuários com permissões para criar ou modificar integrações definam URLs de webhook para endereços de rede interna. Consequentemente, o servidor pode emitir requisições HTTP POST para alvos internos com payloads completos de eventos do quadro. Além disso, o processamento de respostas pode ser explorado para sobrescrever textos de comentários arbitrários sem verificações de autorização. Server-side request forgery é uma falha que permite a um invasor induzir a aplicação do lado do servidor a fazer requisições para um local não pretendido.

Recommendations Atualize para a versão 8.35 ou posterior.