Vikunja — это автономная платформа управления задачами с открытым исходным кодом. До версии 2.0.0 приложение позволяло пользователям устанавливать слабые пароли (например, 1234, пароль) без соблюдения требований к минимальной надежности. Кроме того, активные сеансы остаются действительными после того, как пользователь меняет свой пароль.
Злоумышленник, скомпрометировавший учетную запись (с помощью грубой силы или подброса учетных данных), может сохранить постоянный доступ даже после того, как жертва сбросит свой пароль. Версия 2.0.0 содержит исправление.
Показать оригинальное описание (EN)
Vikunja is an open-source self-hosted task management platform. Prior to version 2.0.0, the application allows users to set weak passwords (e.g., 1234, password) without enforcing minimum strength requirements. Additionally, active sessions remain valid after a user changes their password. An attacker who compromises an account (via brute-force or credential stuffing) can maintain persistent access even after the victim resets their password. Version 2.0.0 contains a fix.
Характеристики атаки
Последствия
Строка CVSS v3.1