Plataforma
php
Componente
kanboard
Corregido en
1.2.50
CVE-2026-21881 es una vulnerabilidad de bypass de autenticación crítica que afecta a Kanboard, un software de gestión de proyectos basado en Kanban. Esta falla permite a un atacante impersonar a cualquier usuario, incluyendo administradores, al manipular encabezados HTTP. Las versiones de Kanboard afectadas son aquellas iguales o inferiores a 1.2.48. La vulnerabilidad ha sido solucionada en la versión 1.2.49.
La gravedad de esta vulnerabilidad radica en su facilidad de explotación y el acceso no autorizado que proporciona. Un atacante puede, sin necesidad de credenciales válidas, suplantar la identidad de cualquier usuario dentro del sistema Kanboard. Esto implica la posibilidad de acceder a información confidencial de proyectos, modificar tareas, eliminar datos, e incluso comprometer la integridad del sistema. La falta de validación de los encabezados HTTP permite a un atacante inyectar datos maliciosos que son aceptados como autenticación válida. Esta vulnerabilidad se asemeja a otros casos de confianza ciega en encabezados HTTP, donde la falta de verificación adecuada puede llevar a la suplantación de identidad.
CVE-2026-21881 fue publicado el 8 de enero de 2026. No se ha reportado explotación activa en entornos reales hasta el momento de la publicación. La vulnerabilidad se considera de alta probabilidad de explotación debido a su simplicidad y el impacto crítico que tiene. Se recomienda monitorear activamente los sistemas Kanboard para detectar posibles intentos de explotación.
Organizations using Kanboard for project management, particularly those with REVERSEPROXYAUTH enabled, are at risk. This includes teams relying on Kanboard for task tracking, bug reporting, and collaboration. Shared hosting environments where Kanboard is installed alongside other applications are also at increased risk due to the potential for cross-site contamination.
• php: Examine Kanboard configuration files for the presence and value of REVERSEPROXYAUTH. Check access logs for unusual authentication attempts with spoofed HTTP headers.
• generic web: Use curl to test authentication with crafted HTTP headers. Example:
curl -H "X-Kanboard-User: attacker" http://kanboard.example.com/login• generic web: Monitor web server access logs for requests containing suspicious or unexpected values in HTTP headers related to authentication (e.g., X-Kanboard-User).
disclosure
Estado del Exploit
EPSS
0.32% (55% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-21881 es actualizar Kanboard a la versión 1.2.49 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, deshabilitar temporalmente la función REVERSEPROXYAUTH puede reducir el riesgo, aunque esto podría afectar la funcionalidad de proxy inverso. Implementar una validación estricta de los encabezados HTTP en el proxy inverso para asegurar que las solicitudes provengan de fuentes confiables es una medida complementaria. Después de la actualización, confirme que la autenticación funciona correctamente y que los encabezados HTTP se validan adecuadamente.
Actualice Kanboard a la versión 1.2.49 o superior. Esta versión corrige la vulnerabilidad de omisión de autenticación al validar correctamente el origen de las cabeceras HTTP cuando REVERSE_PROXY_AUTH está habilitado. La actualización previene la suplantación de usuarios, incluyendo administradores.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-21881 is a critical vulnerability in Kanboard versions 1.2.48 and below that allows attackers to bypass authentication by spoofing HTTP headers, potentially impersonating administrators.
You are affected if you are using Kanboard version 1.2.48 or earlier and have REVERSEPROXYAUTH enabled. Upgrade to version 1.2.49 to mitigate the risk.
The recommended fix is to upgrade Kanboard to version 1.2.49 or later. If upgrading is not possible, disable REVERSEPROXYAUTH as a temporary workaround.
Active exploitation has not been confirmed at this time, but the vulnerability's simplicity suggests it may be exploited soon.
Refer to the Kanboard security advisory for detailed information and updates: [https://kanboard.org/security/advisories](https://kanboard.org/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.