Vikunja es una plataforma de gestión de tareas auto-alojada de código abierto. A partir de la versión 0.21.0 y anterior a la versión 2.2.0, el wrapper de Vikunja Desktop Electron habilita `nodeIntegration` en el proceso de renderizado sin `contextIsolation` o `sandbox`. Esto significa que cualquier vulnerabilidad de scripting entre sitios (XSS) en el frontend web de Vikunja -- presente o futura -- se eleva automáticamente a ejecución remota completa de código en la máquina de la víctima, ya que los scripts inyectados obtienen acceso a las APIs de Node.js. La versión 2.2.0 corrige el problema.

La vulnerabilidad radica en la forma en que Vikunja Desktop Electron maneja la integración de Node.js en el proceso de renderizado. Al habilitar nodeIntegration sin las protecciones adecuadas (contextIsolation o sandbox), cualquier XSS exitoso en la interfaz web de Vikunja se convierte automáticamente en una oportunidad para ejecutar código arbitrario en la máquina del usuario. Un atacante podría inyectar scripts maliciosos a través de la interfaz web, que luego serían ejecutados con los privilegios del proceso de Electron, permitiendo el acceso a archivos locales, la ejecución de comandos del sistema y potencialmente el robo de información sensible. Esto representa un riesgo significativo, similar a las vulnerabilidades que explotan la integración de Node.js en aplicaciones Electron sin las protecciones necesarias.

Users who rely on Vikunja Desktop for task management, particularly those running versions 0.21.0 through 2.2.2, are at significant risk. This includes individuals and organizations using Vikunja for personal or professional task tracking. Shared hosting environments where Vikunja Desktop is installed could expose multiple users to the vulnerability if the application is not properly secured.

• windows / supply-chain: Monitor Vikunja Desktop processes for unusual network activity or unexpected file modifications. Use Windows Defender to scan for suspicious files or registry keys associated with Vikunja.

Get-Process -Name VikunjaDesktop | Select-Object -ExpandProperty Path

• linux / server: Monitor Vikunja Desktop application logs for signs of XSS attempts or unusual Node.js activity. Use lsof to identify open files and network connections associated with the Vikunja Desktop process.

lsof -p $(pidof VikunjaDesktop)

• generic web: If Vikunja is accessible via a web interface, perform regular security scans for XSS vulnerabilities. Review access and error logs for suspicious requests or payloads.

grep -i 'script' /var/log/apache2/access.log

1. 2026-03-24Disclosure

   disclosure

2. 2026-03-24Patch

   patch

1. Reservado2026-03-18
2. Publicada2026-03-24
3. Modificada2026-03-27
4. EPSS actualizado2026-04-01

La mitigación principal es actualizar Vikunja Desktop Electron a la versión 2.2.0 o superior, que corrige la vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere un rollback a una versión anterior segura (si existe) o la implementación de un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas que intenten explotar la vulnerabilidad. Además, revise la configuración de seguridad de Vikunja y asegúrese de que todas las dependencias estén actualizadas. No hay firmas Sigma o YARA específicas disponibles para esta vulnerabilidad, pero monitorear el tráfico de red en busca de patrones sospechosos puede ayudar a detectar intentos de explotación.