Plataforma
go
Componente
code.vikunja.io/api
Corregido en
2.3.1
2.3.0
Se ha descubierto una vulnerabilidad de escalada de privilegios en la API de Vikunja (code.vikunja.io/api). Esta falla permite a un atacante reasignar proyectos, lo que podría resultar en un acceso no autorizado a datos sensibles y funcionalidades del sistema. La vulnerabilidad afecta a versiones anteriores a v2.3.0 y se recomienda actualizar a la versión corregida para eliminar el riesgo.
La escalada de privilegios en Vikunja API permite a un atacante obtener acceso a proyectos a los que no deberían tener acceso. Esto podría implicar la lectura, modificación o eliminación de datos confidenciales almacenados dentro de esos proyectos. Un atacante podría, por ejemplo, acceder a listas de tareas, notas o cualquier otra información almacenada en Vikunja. La reasignación de proyectos también podría permitir al atacante ejecutar acciones en nombre de otros usuarios, comprometiendo la integridad del sistema y la confidencialidad de los datos.
La vulnerabilidad CVE-2026-35595 fue publicada el 2026-04-10. No se ha reportado explotación activa en entornos reales a la fecha. No se ha añadido a KEV. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations and individuals using Vikunja API versions prior to 2.3.0 are at risk. This includes those deploying Vikunja in shared hosting environments or using legacy configurations that may not be regularly updated. Users who have granted broad permissions to their Vikunja accounts are particularly vulnerable.
• linux / server: Monitor Vikunja API logs for unusual project reparenting requests. Use journalctl -u vikunja to filter for events related to project modifications.
journalctl -u vikunja | grep 'project reparenting'• generic web: Monitor API endpoints related to project management for unexpected requests. Use curl to test access control mechanisms.
curl -v -H "Authorization: Bearer <low_privilege_token>" https://<vikunja_instance>/api/projects/<project_id>/reparent/<target_parent_id>• go: Examine Vikunja API source code for the project reparenting logic and look for potential vulnerabilities in input validation or access control checks.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-35595 es actualizar Vikunja API a la versión 2.3.0 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente los permisos de los usuarios y los proyectos para limitar el impacto potencial de la vulnerabilidad. Implementar una política de mínimo privilegio para los usuarios de Vikunja puede ayudar a reducir el riesgo. Aunque no existe una solución de parcheo, se recomienda monitorear los logs de Vikunja en busca de actividades sospechosas relacionadas con la reasignación de proyectos.
Actualice Vikunja a la versión 2.3.0 o posterior para mitigar la vulnerabilidad de escalada de privilegios. La actualización corrige la lógica de permisos en el manejo de cambios de proyecto padre, evitando que los usuarios hereden permisos de administrador de forma incorrecta.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-35595 is a HIGH severity vulnerability in Vikunja API versions before 2.3.0 that allows an attacker to escalate privileges via Project Reparenting, potentially gaining unauthorized access.
Yes, if you are using Vikunja API versions prior to 2.3.0, you are potentially affected by this vulnerability. Upgrade to the latest version to mitigate the risk.
The recommended fix is to upgrade Vikunja API to version 2.3.0 or later. This version contains the necessary patch to address the privilege escalation vulnerability.
As of now, there are no publicly confirmed reports of active exploitation of CVE-2026-35595. However, the potential for privilege escalation warrants immediate attention and remediation.
Refer to the official Vikunja security advisory for detailed information and updates regarding CVE-2026-35595. Check the Vikunja project website or GitHub repository for the latest announcements.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.