W Vikunja przed wersją 2.1.0 tokeny resetowania hasła nie są unieważniane po użyciu i pozostają ważne bezterminowo. Umożliwia to atakującemu, który wejdzie w posiadanie jednego tokenu, trwałe przejęcie konta w dowolnym momencie w przyszłości.
▸ Pokaż oryginał (EN)
Vikunja is an open-source self-hosted task management platform. Versions prior to 2.1.0 have a business logic vulnerability exists in the password reset mechanism of vikunja/api that allows password reset tokens to be reused indefinitely. Due to a failure to invalidate tokens upon use and a critical logic bug in the token cleanup cron job, reset tokens remain valid forever. This allows an attacker who intercepts a single reset token (via logs, browser history, or phishing) to perform a complete, persistent account takeover at any point in the future, bypassing standard authentication controls. Version 2.1.0 contains a patch for the issue.
Podatność wynika z błędu logiki biznesowej w mechanizmie resetowania hasła modułu vikunja/api. Po użyciu tokenu reset nie jest on unieważniany, a dodatkowy błąd krytyczny w zadaniu cron odpowiedzialnym za czyszczenie tokenów sprawia, że nigdy nie wygasają. Atakujący, który przechwyci token (np. z logów systemowych, historii przeglądarki lub poprzez phishing), może go wielokrotnie wykorzystać do zmiany hasła ofiary, całkowicie omijając standardowe mechanizmy uwierzytelniania.
Atakujący uzyskuje pełną i trwałą kontrolę nad kontem użytkownika, do którego przypisany jest przechwycony token, bez konieczności znajomości aktualnego hasła.
Należy zaktualizować Vikunja do wersji 2.1.0, która zawiera patch eliminujący podatność. Patch dostępny w repozytorium GitHub (commit 5c2195f9fca9ad208477e865e6009c37889f87b2).
Vikunja (platforma zarządzania zadaniami, wersja open-source self-hosted) — wszystkie wersje przed 2.1.0
Podatność opisana w oficjalnym security advisory GHSA-rfjg-6m84-crj2 oraz potwierdzona w informacji o wydaniu wersji 2.1.0 na stronie producenta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HVikunja
APPVikunja< 2.1.0
Powiązane podatności
Vikunja: słabe hasła i brak unieważniania sesji po zmianie hasła
Vikunja is an open-source self-hosted task management platform. Prior to 2.3.0, the CanUpdate check at pkg/mod...
Vikunja is an open-source self-hosted task management platform. Prior to 2.3.0, the OIDC callback handler issu...
Vikunja is an open-source self-hosted task management platform. Starting in version 0.18.0 and prior to versio...
Vikunja is an open-source self-hosted task management platform. Prior to version 2.2.0, a flaw in Vikunja’s pa...