विकुंजा एक ओपन-सोर्स सेल्फ-होस्टेड टास्क मैनेजमेंट प्लेटफॉर्म है। संस्करण 0.21.0 में शुरू होकर और संस्करण 2.2.0 से पहले, विकुंजा डेस्कटॉप इलेक्ट्रॉन रैपर बिना `contextIsolation` या `sandbox` के रेंडरर प्रोसेस में `nodeIntegration` सक्षम करता है। इसका मतलब है कि विकुंजा वेब फ्रंटएंड में कोई भी क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता -- वर्तमान या भविष्य में -- स्वचालित रूप से पीड़ित के मशीन पर पूर्ण रिमोट कोड एग्जीक्यूशन में बढ़ जाती है, क्योंकि इंजेक्टेड स्क्रिप्ट Node.js APIs तक पहुंच प्राप्त करती हैं। संस्करण 2.2.0 में सुधार किया गया है।

विकुंजा डेस्कटॉप इलेक्ट्रॉन रैपर में यह भेद्यता हमलावर को विकुंजा वेब फ्रंटएंड में मौजूद किसी भी XSS भेद्यता का फायदा उठाने की अनुमति देती है। चूंकि nodeIntegration सक्षम है, इसलिए हमलावर Node.js APIs तक पहुंच प्राप्त कर सकता है, जिससे वे मशीन पर रिमोट कोड निष्पादित कर सकते हैं। यह हमलावर को संवेदनशील डेटा चुराने, सिस्टम को नियंत्रित करने या अन्य दुर्भावनापूर्ण कार्य करने की अनुमति दे सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह विकुंजा के डेस्कटॉप एप्लिकेशन को लक्षित करती है, जो अक्सर अधिक विशेषाधिकारों के साथ चलते हैं।

Users who rely on Vikunja Desktop for task management, particularly those running versions 0.21.0 through 2.2.2, are at significant risk. This includes individuals and organizations using Vikunja for personal or professional task tracking. Shared hosting environments where Vikunja Desktop is installed could expose multiple users to the vulnerability if the application is not properly secured.

• windows / supply-chain: Monitor Vikunja Desktop processes for unusual network activity or unexpected file modifications. Use Windows Defender to scan for suspicious files or registry keys associated with Vikunja.

Get-Process -Name VikunjaDesktop | Select-Object -ExpandProperty Path

• linux / server: Monitor Vikunja Desktop application logs for signs of XSS attempts or unusual Node.js activity. Use lsof to identify open files and network connections associated with the Vikunja Desktop process.

lsof -p $(pidof VikunjaDesktop)

• generic web: If Vikunja is accessible via a web interface, perform regular security scans for XSS vulnerabilities. Review access and error logs for suspicious requests or payloads.

grep -i 'script' /var/log/apache2/access.log

1. 2026-03-24Disclosure

   disclosure

2. 2026-03-24Patch

   patch

1. आरक्षित2026-03-18
2. प्रकाशित2026-03-24
3. संशोधित2026-03-27
4. EPSS अद्यतन2026-04-01

इस भेद्यता को कम करने के लिए, विकुंजा को संस्करण 2.2.0 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, विकुंजा वेब फ्रंटएंड में XSS हमलों को रोकने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग किया जा सकता है। इसके अतिरिक्त, सुनिश्चित करें कि विकुंजा के लिए उपयोग किए जा रहे सभी निर्भरताएँ नवीनतम संस्करण में हैं। विकुंजा के कॉन्फ़िगरेशन की समीक्षा करें और सुनिश्चित करें कि कोई अनावश्यक सुविधाएँ सक्षम नहीं हैं जो हमले की सतह को बढ़ा सकती हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, विकुंजा वेब फ्रंटएंड में एक XSS पेलोड इंजेक्ट करने का प्रयास करके और यह सुनिश्चित करके कि यह निष्पादित नहीं होता है।