Vikunja est une plateforme de gestion de tâches auto-hébergée et open-source. À partir de la version 0.21.0 et jusqu'à la version 2.2.0, le wrapper Electron de Vikunja Desktop active `nodeIntegration` dans le processus de rendu sans `contextIsolation` ni `sandbox`. Cela signifie que toute vulnérabilité de cross-site scripting (XSS) dans l'interface web de Vikunja -- existante ou future -- s'élève automatiquement à une exécution de code à distance complète sur la machine de la victime, car les scripts injectés obtiennent un accès aux API Node.js. La version 2.2.0 corrige ce problème.

Cette vulnérabilité est particulièrement critique car elle permet à un attaquant d'exploiter toute faille XSS existante ou future dans l'interface web de Vikunja pour exécuter du code arbitraire sur la machine de la victime. L'activation de nodeIntegration sans contextIsolation ou sandbox dans le wrapper Electron offre un accès direct aux API Node.js, contournant ainsi les protections habituelles. Un attaquant pourrait ainsi voler des informations sensibles, installer des logiciels malveillants, ou prendre le contrôle total du système. Cette faille représente un risque élevé de compromission des données et de la sécurité de l'infrastructure.

Users who rely on Vikunja Desktop for task management, particularly those running versions 0.21.0 through 2.2.2, are at significant risk. This includes individuals and organizations using Vikunja for personal or professional task tracking. Shared hosting environments where Vikunja Desktop is installed could expose multiple users to the vulnerability if the application is not properly secured.

• windows / supply-chain: Monitor Vikunja Desktop processes for unusual network activity or unexpected file modifications. Use Windows Defender to scan for suspicious files or registry keys associated with Vikunja.

Get-Process -Name VikunjaDesktop | Select-Object -ExpandProperty Path

• linux / server: Monitor Vikunja Desktop application logs for signs of XSS attempts or unusual Node.js activity. Use lsof to identify open files and network connections associated with the Vikunja Desktop process.

lsof -p $(pidof VikunjaDesktop)

• generic web: If Vikunja is accessible via a web interface, perform regular security scans for XSS vulnerabilities. Review access and error logs for suspicious requests or payloads.

grep -i 'script' /var/log/apache2/access.log

1. 2026-03-24Disclosure

   disclosure

2. 2026-03-24Patch

   patch

1. Réservé2026-03-18
2. Publiée2026-03-24
3. Modifiée2026-03-27
4. EPSS mis à jour2026-04-01

La mitigation principale consiste à mettre à jour Vikunja vers la version 2.2.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement l'intégration Node.js dans le wrapper Electron, bien que cela puisse affecter certaines fonctionnalités. En attendant la mise à jour, surveillez attentivement les logs du serveur et du client pour détecter toute activité suspecte. L'implémentation de règles WAF (Web Application Firewall) pour bloquer les requêtes contenant des scripts potentiellement malveillants peut également aider à atténuer le risque. Après la mise à jour, vérifiez que la version corrigée est bien installée et que les fonctionnalités essentielles fonctionnent correctement.