JVNDB-2026-003805

Wekan projectのWekanにおける複数の脆弱性

WeKan 8.20までのバージョンに脆弱性が判明しました。この脆弱性は、コンポーネントのRESTエンドポイントのファイルmodels/boards.jsにある特定の関数に影響を与えます。この脆弱性により不適切なアクセス制御が発生し、リモートからの攻撃が可能になります。この問題はバージョン8.21へのアップグレードで修正されます。パッチ名は545566f5663545d16174e0f2399f231aa693ab6eです。影響を受けるコンポーネントのアップグレードを推奨します。

Wekan project

• Wekan 8.21 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Vulnerability Database

• VulDB : CVE-2026-1964 WeKan REST Endpoint boards.js BoardTitleRESTBleed access control (EUVD-2026-5524)
• VulDB : Submit #742680: Wekan <8.21 Improper access control in REST endpoint (CWE-284)

1. 不適切な権限設定(CWE-266) [その他]
2. 不適切なアクセス制御(CWE-284) [その他]

1. CVE-2026-1964

1. National Vulnerability Database (NVD) : CVE-2026-1964
2. 関連文書 : Security Fix 10: BoardTitleRESTBleed.  wekan/wekan@545566f  GitHub
3. 関連文書 : Release v8.21  wekan/wekan  GitHub
4. 関連文書 : GitHub - wekan/wekan: The Open Source kanban, built with Meteor. GitHub issues/PRs are only for FLOSS Developers, not for support, support is at https://wekan.fi/commercial-support/ . New English strings for new features at imports/i18n/data/en.i18n.json 

• [2026年02月17日]
    掲載