CVE-2026-59097
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 26 — wyżej niż 26% wszystkich znanych CVE
Streszczenie
Taiga przed wersją 6.10.2 zawiera lukę braku autoryzacji, która pozwala nieuwierzytelnionym zdalnym atakującym na tworzenie domyślnych rekordów terminów w dowolnym projekcie poprzez wykorzystanie niezabezpieczonych punktów końcowych API dla historyjek użytkownika, zadań i zgłoszeń. Atakujący mogą podać dowolny identyfikator projektu, co omija sprawdzanie uprawnień i stosuje domyślne ustawienie AllowAny, aby przejąć inicjatywę przed administratorami projektu.
Ocena ryzyka
Ryzyko polega na tym, że atakujący może zakłócić proces zarządzania terminami w projektach, uniemożliwiając administratorom prawidłowe ustawienie domyślnych dat, co może prowadzić do chaosu organizacyjnego i opóźnień.
Rekomendacja
Należy niezwłocznie zaktualizować Taigę do wersji 6.10.2 lub nowszej, która zawiera poprawkę usuwającą lukę braku autoryzacji w punktach końcowych API.
Oryginalny opis (angielski, źródło NVD)
Taiga before 6.10.2 contains a missing authorization vulnerability that allows unauthenticated remote attackers to create default due-date records in any project by exploiting unprotected POST endpoints on the user-story, task, and issue due-date API viewsets. Attackers can supply an arbitrary project identifier to these endpoints, which bypass permission checks and apply the AllowAny default, to pre-empt project administrators from initializing due dates by creating records before they can do so themselves.

