Vulnerabilidad en Kanboard (CVE-2025-52576)

Kanboard es un software de gestión de proyectos centrado en la metodología Kanban. Antes de la versión 1.2.46, Kanboard era vulnerable a la enumeración de nombres de usuario y a la elusión de la protección por fuerza bruta basada en suplantación de IP. Al analizar el comportamiento de inicio de sesión y abusar de los encabezados HTTP de confianza, un atacante puede determinar nombres de usuario válidos y eludir los mecanismos de limitación o bloqueo. Cualquier organización que ejecute una instancia de Kanboard de acceso público se ve afectada, especialmente si utiliza protecciones basadas en IP como Fail2Ban o CAPTCHA para la limitación de la tasa de inicio de sesión. Los atacantes con acceso a la página de inicio de sesión pueden explotar esta vulnerabilidad para enumerar nombres de usuario válidos y eludir los mecanismos de bloqueo basados en IP, lo que aumenta el riesgo de ataques de fuerza bruta o robo de credenciales. La versión 1.2.46 incluye un parche para solucionar este problema.