JVNDB-2026-003806

Wekan projectのWekanにおける複数の脆弱性

WeKanのバージョン8.20以下に脆弱性が発見されました。影響を受けるのは、コンポーネントAttachment Migrationのファイルserver/attachmentMigration.js内の未知の関数です。この操作により、不適切なアクセス制御が発生します。攻撃はリモートで開始される可能性があります。この問題はバージョン8.21へのアップグレードで解決されます。パッチの識別子は053bf1dfb76ef230db162c64a6ed50ebedf67eeeです。影響を受けるコンポーネントのアップグレードを推奨します。

Wekan project

• Wekan 8.21 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Vulnerability Database

• VulDB : CVE-2026-1962 WeKan Attachment Migration attachmentMigration.js AttachmentMigrationBleed access control (EUVD-2026-5527)
• VulDB : Submit #742677: Wekan <8.21 Improper access control on migration endpoints (CWE-284)

1. 不適切な権限設定(CWE-266) [その他]
2. 不適切なアクセス制御(CWE-284) [その他]

1. CVE-2026-1962

1. National Vulnerability Database (NVD) : CVE-2026-1962
2. 関連文書 : Security Fix 7: AttachmentMigrationBleed.  wekan/wekan@053bf1d  GitHub
3. 関連文書 : Release v8.21  wekan/wekan  GitHub
4. 関連文書 : GitHub - wekan/wekan: The Open Source kanban, built with Meteor. GitHub issues/PRs are only for FLOSS Developers, not for support, support is at https://wekan.fi/commercial-support/ . New English strings for new features at imports/i18n/data/en.i18n.json 

• [2026年02月17日]
    掲載