Vikunja — это автономная платформа управления задачами с открытым исходным кодом. До версии 2.3.0 генератор выходных данных CalDAV создает записи iCalendar VTODO посредством объединения необработанных строк без применения экранирования значения RFC 5545 TEXT. Заголовки задач, управляемые пользователем, содержащие символы CRLF, нарушают границы свойств iCalendar, позволяя внедрять произвольные свойства iCalendar, такие как ATTACH, VALARM или ORGANIZER.
Эта уязвимость исправлена в версии 2.3.0.
Показать оригинальное описание (EN)
Vikunja is an open-source self-hosted task management platform. Prior to 2.3.0, the CalDAV output generator builds iCalendar VTODO entries via raw string concatenation without applying RFC 5545 TEXT value escaping. User-controlled task titles containing CRLF characters break the iCalendar property boundary, allowing injection of arbitrary iCalendar properties such as ATTACH, VALARM, or ORGANIZER. This vulnerability is fixed in 2.3.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Vikunja Vikunja
cpe:2.3:a:vikunja:vikunja:*:*:*:*:*:*:*:*
|
— |
2.3.0
|