JVNDB-2026-003346

Wekan projectのWekanにおける複数の脆弱性

WeKanのバージョン8.20までに脆弱性が検出されました。この脆弱性は、コンポーネントREST API内のファイルmodels/checklistItems.jsにある不明な関数に影響を与えます。引数item.cardId、item.checklistId、card.boardIdの操作により、不適切な認可が発生します。リモートから攻撃を実行することが可能です。バージョン8.21にアップグレードすることで、この問題は修正されます。パッチ名は251d49eea94834cf351bb395808f4a56fb4dbb44です。影響を受けるコンポーネントはアップグレードすることを推奨します。

Wekan project

• Wekan 8.21 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Vulnerability Database

• VulDB : CVE-2026-1894 WeKan REST API checklistItems.js Checklist REST Bleed improper authorization
• VulDB : Submit #742663: Wekan <8.21 IDOR via REST API / improper object relationship validation

1. 不適切な権限設定(CWE-266) [その他]
2. 不適切な認可(CWE-285) [その他]

1. CVE-2026-1894

1. National Vulnerability Database (NVD) : CVE-2026-1894
2. 関連文書 : Security Fix 3: Checklist REST Bleed.  wekan/wekan@251d49e  GitHub
3. 関連文書 : Release v8.21  wekan/wekan  GitHub
4. 関連文書 : GitHub - wekan/wekan: The Open Source kanban, built with Meteor. GitHub issues/PRs are only for FLOSS Developers, not for support, support is at https://wekan.fi/commercial-support/ . New English strings for new features at imports/i18n/data/en.i18n.json 

• [2026年02月13日]
    掲載