CRITICAL🇬🇧 English

CVE-2026-28268

Vikunja: wielokrotne użycie tokenu resetowania hasła — przejęcie konta

CVSS 9.8v3.1pub. 2026-02-27upd. 2026-03-06

W Vikunja przed wersją 2.1.0 tokeny resetowania hasła nie są unieważniane po użyciu i pozostają ważne bezterminowo. Umożliwia to atakującemu, który wejdzie w posiadanie jednego tokenu, trwałe przejęcie konta w dowolnym momencie w przyszłości.

Pokaż oryginał (EN)

Vikunja is an open-source self-hosted task management platform. Versions prior to 2.1.0 have a business logic vulnerability exists in the password reset mechanism of vikunja/api that allows password reset tokens to be reused indefinitely. Due to a failure to invalidate tokens upon use and a critical logic bug in the token cleanup cron job, reset tokens remain valid forever. This allows an attacker who intercepts a single reset token (via logs, browser history, or phishing) to perform a complete, persistent account takeover at any point in the future, bypassing standard authentication controls. Version 2.1.0 contains a patch for the issue.

🤖 Analiza AI
Jak działa

Podatność wynika z błędu logiki biznesowej w mechanizmie resetowania hasła modułu vikunja/api. Po użyciu tokenu reset nie jest on unieważniany, a dodatkowy błąd krytyczny w zadaniu cron odpowiedzialnym za czyszczenie tokenów sprawia, że nigdy nie wygasają. Atakujący, który przechwyci token (np. z logów systemowych, historii przeglądarki lub poprzez phishing), może go wielokrotnie wykorzystać do zmiany hasła ofiary, całkowicie omijając standardowe mechanizmy uwierzytelniania.

Skutki

Atakujący uzyskuje pełną i trwałą kontrolę nad kontem użytkownika, do którego przypisany jest przechwycony token, bez konieczności znajomości aktualnego hasła.

Mitygacja

Należy zaktualizować Vikunja do wersji 2.1.0, która zawiera patch eliminujący podatność. Patch dostępny w repozytorium GitHub (commit 5c2195f9fca9ad208477e865e6009c37889f87b2).

Kogo dotyczy

Vikunja (platforma zarządzania zadaniami, wersja open-source self-hosted) — wszystkie wersje przed 2.1.0

Uwagi

Podatność opisana w oficjalnym security advisory GHSA-rfjg-6m84-crj2 oraz potwierdzona w informacji o wydaniu wersji 2.1.0 na stronie producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Vikunja

    APP
    Vikunja
    < 2.1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-27575CRITICAL9.1PL ✓ten sam produkt

Vikunja: słabe hasła i brak unieważniania sesji po zmianie hasła

CVE-2026-35595HIGH8.3ten sam produkt

Vikunja is an open-source self-hosted task management platform. Prior to 2.3.0, the CanUpdate check at pkg/mod...

CVE-2026-34727HIGH7.4ten sam produkt

Vikunja is an open-source self-hosted task management platform. Prior to 2.3.0, the OIDC callback handler issu...

CVE-2026-33668HIGH7.1ten sam produkt

Vikunja is an open-source self-hosted task management platform. Starting in version 0.18.0 and prior to versio...

CVE-2026-33316HIGH8.1ten sam produkt

Vikunja is an open-source self-hosted task management platform. Prior to version 2.2.0, a flaw in Vikunja’s pa...