Vulnerabilidad en vikunja de go-vikunja (CVE-2026-33316)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
24/03/2026
Última modificación:
24/03/2026
Descripción
Vikunja es una plataforma de gestión de tareas de código abierto autoalojada. Antes de la versión 2.2.0, una falla en la lógica de restablecimiento de contraseña de Vikunja permite a los usuarios deshabilitados recuperar el acceso a sus cuentas. La función 'ResetPassword()' establece el estado del usuario en 'StatusActive' después de un restablecimiento de contraseña exitoso sin verificar si la cuenta había sido deshabilitada previamente. Al solicitar un token de restablecimiento a través de '/api/v1/user/password/token' y completar el restablecimiento a través de '/api/v1/user/password/reset', un usuario deshabilitado puede reactivar su cuenta y eludir la deshabilitación de cuenta impuesta por el administrador. La versión 2.2.0 corrige el problema.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:vikunja:vikunja:*:*:*:*:*:*:*:* | 2.2.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/go-vikunja/vikunja/commit/049f4a6be46f9460bd516f489ef9f569574bc70d
- https://github.com/go-vikunja/vikunja/commit/d8570c603da1f26635ce6048d6af85ede827abfb
- https://github.com/go-vikunja/vikunja/security/advisories/GHSA-vq4q-79hh-q767
- https://vikunja.io/changelog/vikunja-v2.2.0-was-released