JVNDB-2026-003505

Wekan projectのWekanにおける複数の脆弱性

WeKan バージョン 8.18 までに脆弱性が検出されました。影響を受ける要素は、コンポーネント Custom Translation Handler のファイル client/components/settings/translationBody.js 内の関数 setCreateTranslation です。この操作により不適切な認可が発生します。この攻撃はリモートから実行可能です。バージョン 8.19 へアップグレードすることで、この問題は修正されます。パッチは f244a43771f6ebf40218b83b9f46dba6b940d7de として識別されています。影響を受けるコンポーネントのアップグレードを推奨します。

Wekan project

• Wekan 8.19 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Vulnerability Database

• VulDB : CVE-2026-2209 WeKan Custom Translation translationBody.js setCreateTranslation improper authorization (EUVD-2026-5820)
• VulDB : Submit #752269: Wekan <8.20 IDOR in setCreateTranslation. Non-admin could change Custom Tran

1. 不適切な権限設定(CWE-266) [その他]
2. 不適切な認可(CWE-285) [その他]

1. CVE-2026-2209

1. National Vulnerability Database (NVD) : CVE-2026-2209
2. 関連文書 : Security Fix 1: IDOR in setCreateTranslation. Non-admin could change …  wekan/wekan@f244a43  GitHub
3. 関連文書 : Release v8.19  wekan/wekan  GitHub
4. 関連文書 : GitHub - wekan/wekan: The Open Source kanban, built with Meteor. GitHub issues/PRs are only for FLOSS Developers, not for support, support is at https://wekan.fi/commercial-support/ . New English strings for new features at imports/i18n/data/en.i18n.json 

• [2026年02月13日]
    掲載