Vikunja — это автономная платформа управления задачами с открытым исходным кодом. Начиная с версии 0.18.0 и до версии 2.2.1, когда учетная запись пользователя отключена или заблокирована, проверка состояния применяется только для локального входа в систему и путей обновления токена JWT. Три других пути аутентификации — токены API, базовая аутентификация CalDAV и OpenID Connect — не проверяют статус пользователя, позволяя отключенным или заблокированным пользователям продолжать получать доступ к API и синхронизировать данные.
Версия 2.2.1 исправляет проблему.
Показать оригинальное описание (EN)
Vikunja is an open-source self-hosted task management platform. Starting in version 0.18.0 and prior to version 2.2.1, when a user account is disabled or locked, the status check is only enforced on the local login and JWT token refresh paths. Three other authentication paths — API tokens, CalDAV basic auth, and OpenID Connect — do not verify user status, allowing disabled or locked users to continue accessing the API and syncing data. Version 2.2.1 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Vikunja Vikunja
cpe:2.3:a:vikunja:vikunja:*:*:*:*:*:*:*:*
|
0.18.0
|
2.2.1
|