Katalog CVE

CVE-2026-33334

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Vikunja to platforma do zarządzania zadaniami, która w wersjach od 0.21.0 do 2.2.0 umożliwia `nodeIntegration` w procesie renderowania bez `contextIsolation` lub `sandbox`. To stwarza ryzyko, że każda podatność XSS w interfejsie webowym Vikunji może prowadzić do zdalnego wykonania kodu na maszynie ofiary.

Ocena ryzyka

Organizacja jest narażona na poważne zagrożenie, ponieważ atakujący może wykorzystać podatności XSS do uzyskania pełnej kontroli nad systemem ofiary. To może prowadzić do kradzieży danych lub wprowadzenia złośliwego oprogramowania.

Rekomendacja

Zaleca się aktualizację Vikunji do wersji 2.2.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto rozważyć wprowadzenie dodatkowych zabezpieczeń, takich jak monitorowanie i filtrowanie danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Vikunja is an open-source self-hosted task management platform. Starting in version 0.21.0 and prior to version 2.2.0, the Vikunja Desktop Electron wrapper enables `nodeIntegration` in the renderer process without `contextIsolation` or `sandbox`. This means any cross-site scripting (XSS) vulnerability in the Vikunja web frontend -- present or future -- automatically escalates to full remote code execution on the victim's machine, as injected scripts gain access to Node.js APIs. Version 2.2.0 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS