Tech Blog

2026-03-27 opencve vulnerability

CVE-2026-33668: Schwachstelle in Vikunja erlaubt Zugriff trotz Accountsperre

⚠️ CVE-Referenzen: CVE-2026-33668

Zusammenfassung

Die Open-Source-Projektmanagement-Plattform Vikunja wies in den Versionen 0.18.0 bis 2.2.0 eine Sicherheitslücke auf. Obwohl deaktivierte oder gesperrte Nutzerkonten keine lokale Anmeldung mehr durchführen konnten, ließen sich über API-Tokens, CalDAV-Authentifizierung und OpenID Connect weiterhin Daten synchronisieren. Erst ab Version 2.2.1 wurde dieses Problem behoben.

Vikunja is an open-source self-hosted task management platform. Starting in version 0.18.0 and prior to version 2.2.1, when a user account is disabled or locked, the status check is only enforced on the local login and JWT token refresh paths. Three other authentication paths — API tokens, CalDAV basic auth, and OpenID Connect — do not verify user status, allowing disabled or locked users to continue accessing the API and syncing data. Version 2.2.1 patches the issue.

Quelle: app.opencve.io

Originalartikel lesen →

← Zurück zur Übersicht