CVE-2026-27575
KrytyczneStreszczenie
Vikunja to platforma do zarządzania zadaniami, która przed wersją 2.0.0 pozwalała użytkownikom na ustawianie słabych haseł bez wymogu minimalnej siły. Dodatkowo, aktywne sesje pozostają ważne po zmianie hasła przez użytkownika.
Ocena ryzyka
Atakujący, który przejmie konto (np. poprzez atak siłowy lub wykorzystanie skradzionych danych logowania), może utrzymać stały dostęp nawet po zresetowaniu hasła przez ofiarę, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 2.0.0 lub nowszej, aby skorzystać z poprawek dotyczących wymagań dotyczących haseł oraz zarządzania sesjami.
Oryginalny opis (angielski, źródło NVD)
Vikunja is an open-source self-hosted task management platform. Prior to version 2.0.0, the application allows users to set weak passwords (e.g., 1234, password) without enforcing minimum strength requirements. Additionally, active sessions remain valid after a user changes their password. An attacker who compromises an account (via brute-force or credential stuffing) can maintain persistent access even after the victim resets their password. Version 2.0.0 contains a fix.

