Plateforme
go
Composant
go-vikunja/vikunja
Corrigé dans
2.3.1
La vulnérabilité CVE-2026-34727 concerne un contournement d'authentification dans Vikunja, une plateforme de gestion de tâches auto-hébergée open-source. Avant la version 2.3.0, le gestionnaire de rappel OIDC émet un jeton JWT complet sans vérifier si l'utilisateur correspondant a activé l'authentification à deux facteurs TOTP. Cette faille permet à un attaquant de contourner l'authentification à deux facteurs, ce qui peut compromettre la sécurité des données. La version 2.3.0 corrige cette vulnérabilité.
Cette vulnérabilité permet à un attaquant authentifié via OIDC de contourner l'authentification à deux facteurs TOTP. Un attaquant pourrait exploiter cette faille pour obtenir un accès non autorisé aux tâches et aux données d'un utilisateur Vikunja. L'impact est significatif car cela permet un accès direct aux informations sensibles gérées par Vikunja, potentiellement incluant des informations personnelles, des dates limites et des détails de projet. Bien que l'exploitation nécessite une authentification préalable via OIDC, la possibilité de contourner la deuxième étape d'authentification représente un risque majeur pour la confidentialité et l'intégrité des données.
Cette vulnérabilité a été rendue publique le 2026-04-10. Il n'y a pas d'indications d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, car elle nécessite une configuration OIDC et une connaissance de la vulnérabilité. Il est conseillé de surveiller les forums de sécurité et les sites de partage de code pour détecter l'émergence de preuves de concept (PoC).
Organizations and individuals using Vikunja for task management, particularly those relying on OpenID Connect (OIDC) for authentication and enabling TOTP two-factor authentication, are at risk. Shared hosting environments where multiple Vikunja instances share the same server resources could also be affected if one instance is compromised.
• linux / server:
journalctl -u vikunja -g "oidc callback"• generic web:
curl -I https://your-vikunja-instance/oidc/callback | grep -i "WWW-Authenticate: Bearer"disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 14%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à niveau Vikunja vers la version 2.3.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, désactiver temporairement l'authentification OIDC peut réduire le risque, mais cela affectera l'accès des utilisateurs à Vikunja via OIDC. En attendant la mise à niveau, examinez attentivement les journaux d'audit pour détecter toute activité suspecte. Après la mise à niveau, vérifiez que l'authentification TOTP est correctement appliquée en vous connectant avec un utilisateur OIDC et en vous assurant que la deuxième étape d'authentification est requise.
Mettez à jour Vikunja à la version 2.3.0 ou ultérieure pour éviter que l'authentification à deux facteurs TOTP ne soit ignorée lors de la connexion via OIDC. Cette mise à jour corrige le problème en vérifiant que l'utilisateur a TOTP activé avant d'émettre un token JWT.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34727 is a vulnerability in Vikunja versions 0.0.0 through 2.2.9 that allows attackers to bypass two-factor authentication (TOTP) when using OpenID Connect (OIDC) with email fallback.
You are affected if you are using Vikunja versions 0.0.0 through 2.2.9 and have OIDC configured with email fallback and TOTP enabled.
Upgrade Vikunja to version 2.3.0 or later to resolve the vulnerability. As a temporary workaround, disable OIDC email fallback.
There is currently no evidence of active exploitation in the wild, and no public proof-of-concept exploits are available.
Refer to the official Vikunja security advisory on their website or GitHub repository for detailed information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.