CRITICAL🇬🇧 English

CVE-2026-27575

Vikunja: słabe hasła i brak unieważniania sesji po zmianie hasła

CVSS 9.1v3.1pub. 2026-02-25upd. 2026-03-05

Vikunja przed wersją 2.0.0 pozwala użytkownikom ustawiać bardzo słabe hasła (np. '1234', 'password') bez wymuszania minimalnych wymagań siły hasła. Dodatkowo aktywne sesje pozostają ważne po zmianie hasła, co umożliwia atakującemu utrzymanie trwałego dostępu do konta nawet po tym, jak ofiara zresetuje swoje hasło.

Pokaż oryginał (EN)

Vikunja is an open-source self-hosted task management platform. Prior to version 2.0.0, the application allows users to set weak passwords (e.g., 1234, password) without enforcing minimum strength requirements. Additionally, active sessions remain valid after a user changes their password. An attacker who compromises an account (via brute-force or credential stuffing) can maintain persistent access even after the victim resets their password. Version 2.0.0 contains a fix.

🤖 Analiza AI
Jak działa

Aplikacja nie wymusza minimalnych wymagań dotyczących siły hasła (CWE-521), co ułatwia przejęcie konta metodą brute-force lub credential stuffing. Po pomyślnym przejęciu konta istniejące sesje atakującego nie są unieważniane w momencie zmiany hasła przez ofiarę (CWE-613). Oznacza to, że nawet jeśli użytkownik wykryje naruszenie i zmieni hasło, atakujący zachowuje aktywną sesję i nieprzerwany dostęp do konta.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do konta użytkownika, a następnie utrzymywać go trwale nawet po zmianie hasła przez ofiarę — prowadząc do wycieku poufnych danych zadań i projektów oraz modyfikacji zasobów w platformie.

Mitygacja

Należy zaktualizować Vikunja do wersji 2.0.0, która zawiera poprawkę wymuszającą minimalne wymagania siły hasła oraz unieważnianie aktywnych sesji po zmianie hasła.

Kogo dotyczy

Vikunja (open-source, self-hosted) we wszystkich wersjach przed 2.0.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Vikunja

    APP
    Vikunja
    < 2.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-28268CRITICAL9.8PL ✓ten sam produkt

Vikunja: wielokrotne użycie tokenu resetowania hasła — przejęcie konta

CVE-2026-35595HIGH8.3ten sam produkt

Vikunja is an open-source self-hosted task management platform. Prior to 2.3.0, the CanUpdate check at pkg/mod...

CVE-2026-34727HIGH7.4ten sam produkt

Vikunja is an open-source self-hosted task management platform. Prior to 2.3.0, the OIDC callback handler issu...

CVE-2026-33678HIGH8.1ten sam produkt

Vikunja is an open-source self-hosted task management platform. Prior to version 2.2.1, `TaskAttachment.ReadOn...

CVE-2026-33316HIGH8.1ten sam produkt

Vikunja is an open-source self-hosted task management platform. Prior to version 2.2.0, a flaw in Vikunja’s pa...