CVE-2026-33334
CriticalSummary
Vikunja to platforma do zarządzania zadaniami, która w wersjach od 0.21.0 do 2.2.0 umożliwia `nodeIntegration` w procesie renderowania bez `contextIsolation` lub `sandbox`. To stwarza ryzyko, że każda podatność XSS w interfejsie webowym Vikunji może prowadzić do zdalnego wykonania kodu na maszynie ofiary.
Risk Assessment
Organizacja jest narażona na poważne zagrożenie, ponieważ atakujący może wykorzystać podatności XSS do uzyskania pełnej kontroli nad systemem ofiary. To może prowadzić do kradzieży danych lub wprowadzenia złośliwego oprogramowania.
Recommendation
Zaleca się aktualizację Vikunji do wersji 2.2.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto rozważyć wprowadzenie dodatkowych zabezpieczeń, takich jak monitorowanie i filtrowanie danych wejściowych.
Original NVD description (English source)
Vikunja is an open-source self-hosted task management platform. Starting in version 0.21.0 and prior to version 2.2.0, the Vikunja Desktop Electron wrapper enables `nodeIntegration` in the renderer process without `contextIsolation` or `sandbox`. This means any cross-site scripting (XSS) vulnerability in the Vikunja web frontend -- present or future -- automatically escalates to full remote code execution on the victim's machine, as injected scripts gain access to Node.js APIs. Version 2.2.0 fixes the issue.

