Wekan w wersjach 8.32 i 8.33 zawiera podatność typu Server-Side Request Forgery (SSRF), która pozwala każdemu uwierzytelnionemu użytkownikowi na wymuszenie wykonania przez serwer dowolnych żądań HTTP. Może to prowadzić do ujawnienia wrażliwych zasobów wewnętrznych, w tym danych uwierzytelniających środowisk chmurowych.
▸ Pokaż oryginał (EN)
Wekan is an open source kanban tool built with Meteor. Versions 8.32 and 8.33 are vulnerable to Server-Side Request Forgery (SSRF) via attachment URL loading. During board import in Wekan, attachment URLs from user-supplied JSON data are fetched directly by the server without any URL validation or filtering, affecting both the Wekan and Trello import flows. The parseActivities() and parseActions() methods extract user-controlled attachment URLs, which are then passed directly to Attachments.load() for download with no sanitization. This Server-Side Request Forgery (SSRF) vulnerability allows any authenticated user to make the server issue arbitrary HTTP requests, potentially accessing internal network services such as cloud instance metadata endpoints (exposing IAM credentials), internal databases, and admin panels that are otherwise unreachable from outside the network. This issue has been fixed in version 8.34.
Podczas importu tablicy w Wekan, adresy URL załączników są pobierane bezpośrednio z danych JSON dostarczonych przez użytkownika — zarówno w przepływie importu Wekan, jak i Trello. Metody parseActivities() i parseActions() wyodrębniają kontrolowane przez użytkownika adresy URL załączników, które następnie są przekazywane bez żadnej walidacji ani filtrowania do funkcji Attachments.load() w celu pobrania zasobu. Brak jakiejkolwiek sanityzacji URL umożliwia atakującemu wskazanie dowolnego celu, w tym adresów wewnętrznych niedostępnych z zewnątrz sieci.
Uwierzytelniony atakujący może skłonić serwer do wykonywania żądań HTTP do dowolnych zasobów, w tym wewnętrznych baz danych, paneli administracyjnych oraz punktów końcowych metadanych instancji chmurowych (np. AWS IMDSv1), co może skutkować przejęciem danych uwierzytelniających IAM i kompromitacją infrastruktury.
Należy zaktualizować Wekan do wersji 8.34, w której podatność została naprawiona. Patch dostępny jest w repozytorium GitHub projektu (commit 62216e36c15f55d4ef6cb97313db3aa54fc77fe0) oraz w wydaniu v8.34.
Wekan w wersjach 8.32 i 8.33
Podatność została zgłoszona i opisana przez GitHub Security Lab w ramach zgłoszenia GHSL-2026-045. Dotyczy wyłącznie instancji Wekan dostępnych dla uwierzytelnionych użytkowników — brak autoryzacji nie jest wymagany do przeprowadzenia ataku, wystarczy posiadanie konta w aplikacji.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XWekan Project Wekan
APPWekan Project8.328.33
Powiązane podatności
Wekan IDOR: nieautoryzowana modyfikacja pól własnych na tablicach
Wekan: ujawnienie wrażliwych danych użytkowników przez publikację notificationUsers
Wekan is an open source kanban tool built with Meteor. In versions 8.31.0 through 8.33, the globalwebhooks pub...
WeKan versions prior to 8.19 contain an insecure direct object reference (IDOR) in checklist creation and rela...
WeKan versions prior to 8.19 contain an authorization weakness in the attachment upload API. The API does not ...