मुफ्त स्कैन करें
HIGHCVE-2026-34727CVSS 7.4

विकुंजा में OIDC लॉगिन पाथ के माध्यम से TOTP दो-कारक प्रमाणीकरण बाईपास की भेद्यता

प्लेटफ़ॉर्म

go

घटक

go-vikunja/vikunja

में ठीक किया गया

2.3.1

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें

विकुंजा एक ओपन-सोर्स, सेल्फ-होस्टेड टास्क मैनेजमेंट प्लेटफॉर्म है। CVE-2026-34727 एक प्रमाणीकरण बाईपास भेद्यता है जो विकुंजा के संस्करण 0.0.0 से कम 2.3.0 तक के संस्करणों को प्रभावित करती है। इस भेद्यता के कारण, हमलावर TOTP दो-कारक प्रमाणीकरण को बायपास कर सकते हैं। 2.3.0 संस्करण में इस समस्या का समाधान किया गया है।

Go

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

go.mod अपलोड करें

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को विकुंजा सिस्टम में अनधिकृत पहुंच प्राप्त करने की अनुमति देती है, क्योंकि वे TOTP दो-कारक प्रमाणीकरण को बायपास कर सकते हैं। इसका मतलब है कि हमलावर संवेदनशील कार्यों को निष्पादित कर सकते हैं, जैसे कि कार्यों को संशोधित करना, हटाना या बनाना, और संभावित रूप से सिस्टम डेटा तक पहुंच प्राप्त करना। इस भेद्यता का उपयोग विकुंजा सिस्टम के भीतर विशेषाधिकार वृद्धि के लिए भी किया जा सकता है, जिससे हमलावर अधिक नियंत्रण प्राप्त कर सकते हैं। चूंकि यह एक प्रमाणीकरण बाईपास है, इसलिए यह अन्य सिस्टमों के लिए भी खतरा पैदा कर सकता है जो विकुंजा के साथ एकीकृत हैं।

शोषण संदर्भ

CVE-2026-34727 को 2026-04-10 को सार्वजनिक रूप से प्रकट किया गया था। इस भेद्यता के लिए अभी तक कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन इसकी गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने की संभावना है। CISA KEV सूची में अभी तक शामिल नहीं है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations and individuals using Vikunja for task management, particularly those relying on OpenID Connect (OIDC) for authentication and enabling TOTP two-factor authentication, are at risk. Shared hosting environments where multiple Vikunja instances share the same server resources could also be affected if one instance is compromised.

पहचान के चरणअनुवाद हो रहा है…

• linux / server:

journalctl -u vikunja -g "oidc callback"

• generic web:

curl -I https://your-vikunja-instance/oidc/callback | grep -i "WWW-Authenticate: Bearer"

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.04% (14% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N7.4HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityHighशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
उच्च — रेस कंडीशन, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन या विशिष्ट परिस्थितियों की आवश्यकता।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकgo-vikunja/vikunja
विक्रेताgo-vikunja
प्रभावित श्रेणीमें ठीक किया गया
< 2.3.0 – < 2.3.02.3.1

कमजोरी वर्गीकरण (CWE)

CWE-287

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, विकुंजा को संस्करण 2.3.0 या बाद के संस्करण में तुरंत अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप OIDC ईमेल फ़ॉलबैक तंत्र को अक्षम करने पर विचार कर सकते हैं, लेकिन इससे सिस्टम की कार्यक्षमता प्रभावित हो सकती है। सुनिश्चित करें कि आपके वेब एप्लिकेशन फ़ायरवॉल (WAF) को इस प्रकार के हमलों का पता लगाने और उन्हें ब्लॉक करने के लिए कॉन्फ़िगर किया गया है। अपडेट के बाद, यह सत्यापित करें कि TOTP दो-कारक प्रमाणीकरण ठीक से काम कर रहा है और प्रमाणीकरण प्रक्रिया सुरक्षित है।

कैसे ठीक करें

TOTP दो-कारक प्रमाणीकरण को OIDC के माध्यम से लॉग इन करते समय छोड़ने से रोकने के लिए Vikunja को संस्करण 2.3.0 या बाद के संस्करण में अपडेट करें। यह अपडेट JWT टोकन जारी करने से पहले उपयोगकर्ता के TOTP सक्षम होने की जांच करके समस्या को ठीक करता है।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-34727 — प्रमाणीकरण बाईपास विकुंजा में क्या है?

CVE-2026-34727 विकुंजा में एक प्रमाणीकरण बाईपास भेद्यता है जो हमलावरों को TOTP दो-कारक प्रमाणीकरण को बायपास करने की अनुमति देती है, जिससे अनधिकृत पहुंच हो सकती है।

क्या मैं CVE-2026-34727 से विकुंजा में प्रभावित हूं?

यदि आप विकुंजा के संस्करण 0.0.0 से कम 2.3.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं विकुंजा में CVE-2026-34727 को कैसे ठीक करूं?

इस भेद्यता को ठीक करने के लिए, विकुंजा को संस्करण 2.3.0 या बाद के संस्करण में तुरंत अपडेट करें।

क्या CVE-2026-34727 सक्रिय रूप से शोषण किया जा रहा है?

इस भेद्यता के लिए अभी तक कोई सार्वजनिक PoC उपलब्ध नहीं है, लेकिन इसकी गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने की संभावना है।

मैं विकुंजा के लिए CVE-2026-34727 के लिए आधिकारिक सलाहकार कहां पा सकता हूं?

विकुंजा टीम की आधिकारिक वेबसाइट पर जाएं या उनके GitHub रिपॉजिटरी में सुरक्षा घोषणाओं की जांच करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें