CVE-2026-30846: सूचना रिसाव Wekan में, संस्करण 8.31.0 से 8.34 तक

यह भेद्यता हमलावरों को Wekan इंस्टेंस में संग्रहीत संवेदनशील जानकारी तक अनधिकृत पहुँच प्राप्त करने की अनुमति देती है। हमलावर वैश्विक वेबहुक URL और टोकन प्राप्त कर सकते हैं, जिनका उपयोग वे स्वचालित कार्यों को निष्पादित करने, डेटा को संशोधित करने या सिस्टम पर नियंत्रण हासिल करने के लिए कर सकते हैं। यह विशेष रूप से चिंताजनक है क्योंकि वेबहुक का उपयोग अक्सर बाहरी सेवाओं के साथ Wekan को एकीकृत करने के लिए किया जाता है, जिससे संभावित रूप से अन्य प्रणालियों पर प्रभाव पड़ सकता है। इस भेद्यता का शोषण करने से डेटा उल्लंघन, सेवा व्यवधान और वित्तीय नुकसान हो सकता है।

Organizations using Wekan for project management and task tracking, particularly those relying on webhooks for integration with other systems, are at risk. This includes teams using Wekan in shared hosting environments or with legacy configurations that may not have robust network security controls.

• nodejs / server:

# Check for Wekan version
npm list -g wekan

• nodejs / server:

# Monitor DDP traffic for unauthorized subscriptions to globalwebhooks
# (Requires DDP monitoring tools)

• generic web:

# Check Wekan instance for exposed DDP endpoints
curl -I http://your-wekan-instance/api/v1/public/globalwebhooks

1. 2026-03-06Disclosure

   disclosure

1. आरक्षित2026-03-05
2. प्रकाशित2026-03-06
3. संशोधित2026-03-09
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, Wekan को तुरंत संस्करण 8.34 में अपडेट करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ायरवॉल नियमों को लागू करके या वेबहुक प्रकाशन तक पहुँच को प्रतिबंधित करके अनधिकृत पहुँच को सीमित किया जा सकता है। इसके अतिरिक्त, वेबहुक टोकन को नियमित रूप से घुमाया जाना चाहिए और मजबूत पासवर्ड का उपयोग किया जाना चाहिए। Wekan के नवीनतम सुरक्षा अपडेट के लिए आधिकारिक Wekan वेबसाइट की जाँच करते रहें।