CVE-2026-25566
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 - wyżej niż 13% wszystkich znanych CVE
Streszczenie
WeKan w wersjach przed 8.19 zawiera podatność autoryzacyjną w logice przenoszenia kart. Użytkownik może określić docelową tablicę/listę/tor pływacki bez odpowiednich kontroli autoryzacji dla miejsca docelowego i bez walidacji, czy obiekty docelowe należą do docelowej tablicy, co potencjalnie umożliwia nieautoryzowane przenoszenie kart między tablicami.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego przenoszenia kart między tablicami, co może prowadzić do naruszenia poufności i integralności danych, a także do eskalacji uprawnień w organizacji.
Rekomendacja
Zaleca się natychmiastową aktualizację WeKan do wersji 8.19 lub nowszej, która zawiera poprawkę usuwającą tę podatność.
Oryginalny opis (angielski, źródło NVD)
WeKan versions prior to 8.19 contain an authorization vulnerability in card move logic. A user can specify a destination board/list/swimlane without adequate authorization checks for the destination and without validating that destination objects belong to the destination board, potentially enabling unauthorized cross-board moves.

