Vulnerabilidad en Kanboard (CVE-2026-24885)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

10/02/2026

Última modificación:

13/02/2026

Descripción

Kanboard es un software de gestión de proyectos centrado en la metodología Kanban. Antes de la versión 1.2.50, existe una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en el ProjectPermissionController dentro de la aplicación Kanboard. La aplicación no logra aplicar estrictamente el Content-Type application/json para la acción changeUserRole. Aunque el cuerpo de la petición es JSON, el servidor acepta text/plain, permitiendo a un atacante crear un formulario malicioso usando el atributo text/plain. Lo que permite la modificación no autorizada de los roles de usuario del proyecto si un administrador autenticado visita un sitio malicioso. Esta vulnerabilidad está corregida en la versión 1.2.50.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.70 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno