CVE-2026-30847

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

06/03/2026

Última modificación:

09/03/2026

Descripción

Wekan es una herramienta kanban de código abierto construida con Meteor. En las versiones 8.31.0 a la 8.33, la publicación notificationUsers en Wekan publica documentos de usuario sin filtrar campos, lo que provoca que la llamada a ReactiveCache.getUsers() devuelva todos los campos, incluyendo datos altamente sensibles como hashes de contraseña bcrypt, tokens de inicio de sesión de sesión activa, tokens de verificación de correo electrónico, direcciones de correo electrónico completas y cualquier token OAuth almacenado. A diferencia de la auto-publicación predeterminada de Meteor, que elimina el campo services por seguridad, las publicaciones personalizadas devuelven todos los campos que contiene el cursor, lo que significa que todos los suscriptores reciben los documentos de usuario completos. Cualquier usuario autenticado que active esta publicación puede recolectar credenciales y tokens de sesión activa de otros usuarios, lo que permite el cracking de contraseñas, el secuestro de sesión y la toma de control total de la cuenta. Este problema ha sido solucionado en la versión 8.34.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:H/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0

9.30

Gravedad 4.0

CRÍTICA

CVE-2026-30847

Descripción

Impacto

Referencias a soluciones, herramientas e información