CVE-2026-41455
🟡 Monitoruj
W WeKan przed 8.35 występuje podatność na SSRF, umożliwiająca atakującym wysyłanie żądań do wewnętrznych adresów.
CVSS
8.5
EPSS
0.0%
Exploit
none
Vendor
Opis źródłowy (NVD)
WeKan before 8.35 contains a server-side request forgery vulnerability in webhook integration URL handling where the URL scheme field accepts any string without protocol restriction or destination validation. Attackers who can create or modify integrations can set webhook URLs to internal network addresses, causing the server to issue HTTP POST requests to attacker-controlled internal targets with full board event payloads, and can additionally exploit response handling to overwrite arbitrary comment text without authorization checks.
ssrf
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 8.5 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-04-22 22:16:32 UTC |
| Ostatnia modyfikacja (NVD) | 2026-05-26 14:16:35 UTC |
Referencje
- https://github.com/wekan/wekan/commit/2cd702f48df2b8aef0e7381685f8e089986a18a4 (disclosure@vulncheck.com)
- https://github.com/wekan/wekan/releases/tag/v8.35 (disclosure@vulncheck.com)
- https://www.vulncheck.com/advisories/wekan-ssrf-via-webhook-url (disclosure@vulncheck.com)