CVE-2026-30843
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/03/2026
Última modificación:
09/03/2026
Descripción
Wekan es una herramienta kanban de código abierto construida con Meteor. Las versiones 8.32 y 8.33 tienen un problema crítico de Referencia Directa a Objeto Insegura (IDOR) que podría permitir a usuarios no autorizados modificar campos personalizados entre tableros a través de sus puntos finales de actualización de campos personalizados, lo que podría llevar a la manipulación no autorizada de datos. El punto final PUT /api/boards/:boardId/custom-fields/:customFieldId en Wekan valida que el usuario autenticado tiene acceso al boardId especificado, pero la subsiguiente actualización de la base de datos utiliza solo el _id del campo personalizado como filtro sin confirmar que el campo realmente pertenece a ese tablero. Esto significa que un atacante que posee cualquier tablero puede modificar campos personalizados en cualquier otro tablero al proporcionar un ID de campo personalizado externo, y la misma falla existe en los puntos finales POST, PUT y DELETE para elementos desplegables bajo campos personalizados. Los ID de campo personalizados requeridos se pueden obtener exportando un tablero (lo que solo necesita acceso de lectura), ya que el JSON exportado incluye los ID de todos los componentes del tablero. La verificación de autorización se realiza contra el recurso incorrecto, permitiendo la manipulación de campos personalizados entre tableros. Este problema ha sido solucionado en la versión 8.34.
Impacto
Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA