CRITICAL🇬🇧 English

CVE-2026-30844

SSRF w Wekan — nieautoryzowany dostęp do wewnętrznych zasobów sieciowych

CVSS 9.3v4.0pub. 2026-03-06upd. 2026-03-11

Wekan w wersjach 8.32 i 8.33 zawiera podatność typu Server-Side Request Forgery (SSRF), która pozwala każdemu uwierzytelnionemu użytkownikowi na wymuszenie wykonania przez serwer dowolnych żądań HTTP. Może to prowadzić do ujawnienia wrażliwych zasobów wewnętrznych, w tym danych uwierzytelniających środowisk chmurowych.

Pokaż oryginał (EN)

Wekan is an open source kanban tool built with Meteor. Versions 8.32 and 8.33 are vulnerable to Server-Side Request Forgery (SSRF) via attachment URL loading. During board import in Wekan, attachment URLs from user-supplied JSON data are fetched directly by the server without any URL validation or filtering, affecting both the Wekan and Trello import flows. The parseActivities() and parseActions() methods extract user-controlled attachment URLs, which are then passed directly to Attachments.load() for download with no sanitization. This Server-Side Request Forgery (SSRF) vulnerability allows any authenticated user to make the server issue arbitrary HTTP requests, potentially accessing internal network services such as cloud instance metadata endpoints (exposing IAM credentials), internal databases, and admin panels that are otherwise unreachable from outside the network. This issue has been fixed in version 8.34.

🤖 Analiza AI
Jak działa

Podczas importu tablicy w Wekan, adresy URL załączników są pobierane bezpośrednio z danych JSON dostarczonych przez użytkownika — zarówno w przepływie importu Wekan, jak i Trello. Metody parseActivities() i parseActions() wyodrębniają kontrolowane przez użytkownika adresy URL załączników, które następnie są przekazywane bez żadnej walidacji ani filtrowania do funkcji Attachments.load() w celu pobrania zasobu. Brak jakiejkolwiek sanityzacji URL umożliwia atakującemu wskazanie dowolnego celu, w tym adresów wewnętrznych niedostępnych z zewnątrz sieci.

Skutki

Uwierzytelniony atakujący może skłonić serwer do wykonywania żądań HTTP do dowolnych zasobów, w tym wewnętrznych baz danych, paneli administracyjnych oraz punktów końcowych metadanych instancji chmurowych (np. AWS IMDSv1), co może skutkować przejęciem danych uwierzytelniających IAM i kompromitacją infrastruktury.

Mitygacja

Należy zaktualizować Wekan do wersji 8.34, w której podatność została naprawiona. Patch dostępny jest w repozytorium GitHub projektu (commit 62216e36c15f55d4ef6cb97313db3aa54fc77fe0) oraz w wydaniu v8.34.

Kogo dotyczy

Wekan w wersjach 8.32 i 8.33

Uwagi

Podatność została zgłoszona i opisana przez GitHub Security Lab w ramach zgłoszenia GHSL-2026-045. Dotyczy wyłącznie instancji Wekan dostępnych dla uwierzytelnionych użytkowników — brak autoryzacji nie jest wymagany do przeprowadzenia ataku, wystarczy posiadanie konta w aplikacji.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Wekan Project Wekan

    APP
    Wekan Project
    8.328.33
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SSRF
CWE
Referencje

Powiązane podatności

CVE-2026-30843CRITICAL9.3PL ✓ten sam produkt

Wekan IDOR: nieautoryzowana modyfikacja pól własnych na tablicach

CVE-2026-30847CRITICAL9.3PL ✓ten sam produkt

Wekan: ujawnienie wrażliwych danych użytkowników przez publikację notificationUsers

CVE-2026-30846HIGH8.7ten sam produkt

Wekan is an open source kanban tool built with Meteor. In versions 8.31.0 through 8.33, the globalwebhooks pub...

CVE-2026-25564HIGH7.1ten sam produkt

WeKan versions prior to 8.19 contain an insecure direct object reference (IDOR) in checklist creation and rela...

CVE-2026-25561HIGH7.1ten sam produkt

WeKan versions prior to 8.19 contain an authorization weakness in the attachment upload API. The API does not ...