Plataforma
go
Componente
go-vikunja/vikunja
Corregido en
2.3.1
CVE-2026-34727 es una vulnerabilidad de bypass de autenticación descubierta en Vikunja, una plataforma de gestión de tareas auto-alojada. Esta falla permite a un atacante omitir la autenticación de dos factores (TOTP) al usar el mecanismo de fallback de correo electrónico en la autenticación OIDC, resultando en acceso no autorizado. La vulnerabilidad afecta a las versiones de Vikunja desde 0.0.0 hasta la versión 2.3.0, y ha sido solucionada en la versión 2.3.0.
La explotación de esta vulnerabilidad permite a un atacante obtener acceso no autorizado a una cuenta de usuario de Vikunja sin la necesidad de proporcionar el segundo factor de autenticación (TOTP). Esto podría resultar en la lectura, modificación o eliminación de tareas y datos sensibles almacenados en la plataforma. El impacto potencial es significativo, especialmente si Vikunja se utiliza para gestionar información crítica o confidencial. Un atacante podría, por ejemplo, modificar tareas asignadas a otros usuarios, acceder a información personal o incluso tomar control de la instancia de Vikunja.
El CVE-2026-34727 fue publicado el 2026-04-10. No se ha reportado explotación activa en entornos reales, pero la disponibilidad de la descripción de la vulnerabilidad podría facilitar la creación de exploits. La severidad es alta (CVSS 7.4) debido al potencial de bypass de autenticación. No se ha añadido a la lista KEV de CISA al momento de la redacción.
Organizations and individuals using Vikunja for task management, particularly those relying on OpenID Connect (OIDC) for authentication and enabling TOTP two-factor authentication, are at risk. Shared hosting environments where multiple Vikunja instances share the same server resources could also be affected if one instance is compromised.
• linux / server:
journalctl -u vikunja -g "oidc callback"• generic web:
curl -I https://your-vikunja-instance/oidc/callback | grep -i "WWW-Authenticate: Bearer"disclosure
Estado del Exploit
EPSS
0.04% (14% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-34727 es actualizar Vikunja a la versión 2.3.0 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización a la versión 2.3.0 causa problemas de compatibilidad, considere realizar una copia de seguridad completa de la instancia de Vikunja antes de intentar una reversión a una versión anterior. Como medida de seguridad adicional, revise la configuración de OIDC para asegurar que la validación del segundo factor se aplique correctamente. Monitoree los registros de Vikunja en busca de intentos de autenticación sospechosos.
Actualice Vikunja a la versión 2.3.0 o posterior para evitar que se omita la autenticación de dos factores TOTP al iniciar sesión a través de OIDC. Esta actualización corrige el problema verificando que el usuario tenga TOTP habilitado antes de emitir un token JWT.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-34727 is a vulnerability in Vikunja versions 0.0.0 through 2.2.9 that allows attackers to bypass two-factor authentication (TOTP) when using OpenID Connect (OIDC) with email fallback.
You are affected if you are using Vikunja versions 0.0.0 through 2.2.9 and have OIDC configured with email fallback and TOTP enabled.
Upgrade Vikunja to version 2.3.0 or later to resolve the vulnerability. As a temporary workaround, disable OIDC email fallback.
There is currently no evidence of active exploitation in the wild, and no public proof-of-concept exploits are available.
Refer to the official Vikunja security advisory on their website or GitHub repository for detailed information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.