CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-28268

Critical
Published: Translated: NVD NIST

Summary

Vikunja to platforma do zarządzania zadaniami, która ma podatność w mechanizmie resetowania haseł w wersjach przed 2.1.0. Występuje błąd logiki biznesowej, który pozwala na nieograniczone ponowne użycie tokenów resetujących hasło.

Risk Assessment

Atakujący, który przechwyci pojedynczy token resetujący, może w przyszłości przejąć konto użytkownika, omijając standardowe zabezpieczenia uwierzytelniania. To stwarza poważne ryzyko dla bezpieczeństwa kont użytkowników.

Recommendation

Zaleca się aktualizację do wersji 2.1.0 lub nowszej, która zawiera poprawkę eliminującą tę podatność. Należy również rozważyć przegląd logów i historii przeglądarki w celu wykrycia potencjalnych przechwyconych tokenów.

Original NVD description (English source)

Vikunja is an open-source self-hosted task management platform. Versions prior to 2.1.0 have a business logic vulnerability exists in the password reset mechanism of vikunja/api that allows password reset tokens to be reused indefinitely. Due to a failure to invalidate tokens upon use and a critical logic bug in the token cleanup cron job, reset tokens remain valid forever. This allows an attacker who intercepts a single reset token (via logs, browser history, or phishing) to perform a complete, persistent account takeover at any point in the future, bypassing standard authentication controls. Version 2.1.0 contains a patch for the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS