PT-2026-60323 · Wekan · Wekan
Publicado
2026-07-15
·
Atualizado
2026-07-16
·
CVE-2026-53447
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Wekan versões anteriores a 9.35
Description
O método Meteor
cloneBoard em models/import.js falha ao invocar a função canExport() ou verificar a associação ao quadro de origem ao utilizar a variável sourceBoardId. Isso permite que um usuário autenticado que possua o ID de um quadro privado clone esse quadro para sua própria conta, obtendo acesso não autorizado a cartões, comentários, anexos, informações de membros e atividades.Recommendations
Atualizar para a versão 9.35.
Correção
IDOR
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Wekan