PT-2026-60318 · Wekan · Wekan
Publicado
2026-07-15
·
Atualizado
2026-07-16
·
CVE-2026-52892
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Wekan versões anteriores a 9.32
Description
Os manipuladores REST em
server/models/customFields.js utilizam Authentication.checkBoardAccess() de nível de leitura em vez de Authentication.checkBoardWriteAccess() de nível de escrita para rotas de mutação de campos personalizados. Isso permite que um membro do quadro com permissões apenas de leitura crie, atualize ou exclua campos personalizados do quadro e itens de menu suspenso ao chamar o endpoint /api/boards/:boardId/custom-fields via métodos POST, PUT e DELETE.Recommendations
Atualizar para a versão 9.32.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wekan