Vikunja es una plataforma de gestión de tareas autoalojada de código abierto. A partir de la versión 0.21.0 y anterior a la versión 2.2.0, el wrapper Electron de escritorio de Vikunja habilita `nodeIntegration` en el main BrowserWindow y no restringe las navegaciones dentro de la misma ventana. Un atacante que pueda colocar un enlace en contenido generado por el usuario (descripciones de tareas, comentarios, descripciones de proyectos) puede hacer que el BrowserWindow navegue a un origen controlado por el atacante, donde JavaScript se ejecuta con acceso completo a Node.js, lo que resulta en

Un atacante puede explotar esta vulnerabilidad insertando un enlace malicioso en contenido generado por el usuario, como descripciones de tareas, comentarios o descripciones de proyectos. Al hacer clic en este enlace, el navegador Electron dentro de la aplicación Vikunja Desktop navegará a un origen controlado por el atacante. Este origen puede servir código JavaScript que se ejecutará con acceso completo a Node.js, permitiendo al atacante ejecutar comandos arbitrarios en la máquina del usuario. El impacto es significativo, ya que un atacante podría comprometer completamente el sistema del usuario, robar datos sensibles o instalar malware. La falta de aislamiento entre el contenido web y el entorno Node.js es la raíz del problema, similar a vulnerabilidades observadas en otras aplicaciones Electron.

Self-hosted Vikunja deployments are particularly at risk, especially those utilizing the Desktop Electron application. Users who rely on Vikunja for sensitive task management and data storage are also at increased risk. Shared hosting environments where multiple Vikunja instances reside on the same server could potentially expose multiple users to the vulnerability if one instance is compromised.

• linux / server: Monitor Vikunja logs for attempts to navigate to unusual or attacker-controlled domains. Use journalctl -f -u vikunja to observe real-time log activity.

 grep -i 'attacker.com' /var/log/vikunja/vikunja.log

• generic web: Inspect Vikunja's access and error logs for unusual requests or errors related to navigation or JavaScript execution.

 grep -i 'nodeIntegration' /var/log/nginx/access.log

• windows / supply-chain: Monitor running Node.js processes associated with Vikunja for unexpected behavior or connections. Use PowerShell to list running processes and their arguments.

 Get-Process | Where-Object {$_.ProcessName -like '*vikunja*'} | Select-Object Name, Path, Arguments

1. 2026-03-24Disclosure

   disclosure

1. Reservado2026-03-18
2. Publicada2026-03-24
3. Modificada2026-03-27
4. EPSS actualizado2026-04-01

La mitigación principal es actualizar Vikunja Desktop Electron a la versión 2.2.0 o superior, que corrige la vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad de la base de datos antes de actualizar. Como medida temporal, se puede intentar restringir la navegación dentro de la aplicación Vikunja Desktop, aunque esto puede afectar la funcionalidad. Monitorear los logs de la aplicación en busca de actividad sospechosa, como solicitudes a dominios desconocidos, también puede ayudar a detectar un ataque en curso. No hay firmas Sigma o YARA específicas disponibles actualmente, pero se recomienda monitorear el tráfico de red en busca de patrones inusuales.