Wekan — это инструмент канбана с открытым исходным кодом, созданный с помощью Meteor. В версиях с 8.31.0 по 8.33 публикация globalwebhooks предоставляет все глобальные интеграции веб-перехватчиков, включая конфиденциальные поля URL-адреса и токена, без выполнения какой-либо проверки подлинности на стороне сервера. Хотя подписка обычно вызывается со страницы настроек администратора, публикация на стороне сервера не имеет контроля доступа, то есть любой клиент DDP, включая неаутентифицированный, может подписаться и получить данные.
Это позволяет злоумышленнику, не прошедшему аутентификацию, получать глобальные URL-адреса веб-перехватчиков и токены аутентификации, что потенциально делает возможным несанкционированное использование этих веб-перехватчиков и доступ к подключенным внешним службам. Эта проблема исправлена в версии 8.34.
Показать оригинальное описание (EN)
Wekan is an open source kanban tool built with Meteor. In versions 8.31.0 through 8.33, the globalwebhooks publication exposes all global webhook integrations—including sensitive url and token fields—without performing any authentication check on the server side. Although the subscription is normally invoked from the admin settings page, the server-side publication has no access control, meaning any DDP client, including unauthenticated ones, can subscribe and receive the data. This allows an unauthenticated attacker to retrieve global webhook URLs and authentication tokens, potentially enabling unauthorized use of those webhooks and access to connected external services. This issue has been fixed in version 8.34.
Характеристики атаки
Последствия
Строка CVSS v4.0