Vulnerabilidad en vikunja de go-vikunja (CVE-2026-33676)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/03/2026
Última modificación:
27/03/2026
Descripción
Vikunja es una plataforma de gestión de tareas de código abierto y autoalojada. Antes de la versión 2.2.1, cuando la API de Vikunja devuelve tareas, rellena el campo 'related_tasks' con objetos de tarea completos para todas las tareas relacionadas sin verificar si el usuario solicitante tiene permiso de lectura sobre los proyectos de esas tareas. Un usuario autenticado que puede leer una tarea que tiene relaciones entre proyectos recibirá detalles completos (título, descripción, fechas de vencimiento, prioridad, porcentaje de finalización, ID de proyecto, etc.) de tareas en proyectos a los que no tiene acceso. La versión 2.2.1 corrige el problema.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:vikunja:vikunja:*:*:*:*:*:*:*:* | 2.2.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/go-vikunja/vikunja/commit/833f2aec006ac0f6643c41872e45dd79220b9174
- https://github.com/go-vikunja/vikunja/pull/2449
- https://github.com/go-vikunja/vikunja/security/advisories/GHSA-8cmm-j6c4-rr8v
- https://vikunja.io/changelog/vikunja-v2.2.2-was-released
- https://github.com/go-vikunja/vikunja/security/advisories/GHSA-8cmm-j6c4-rr8v