CVE-2026-44224

Nome do Software Vulnerável e Versões Afetadas Wiki.js versões anteriores a 2.5.313

Descrição A mutação GraphQL users.update permite a aplicação de um array groups arbitrário diretamente no banco de dados sem validar os IDs de grupo fornecidos. O resolver passa os argumentos para o modelo sem verificações de propriedade ou restrições sobre as atribuições de grupo. Um usuário com permissões manage:users, tipicamente atribuídas a moderadores, pode se autoatribuir ao grupo de Administradores definindo groups:[1]. Após a reautenticação, o JSON Web Token (JWT) resultante—um meio compacto e seguro para URLs de representar reivindicações a serem transferidas entre duas partes—carrega a permissão manage:system, concedendo acesso total de administrador do site.

Recomendações Atualizar para a versão 2.5.313.