विकुंजा में OIDC लॉगिन पाथ के माध्यम से TOTP दो-कारक प्रमाणीकरण बाईपास की भेद्यता

यह भेद्यता हमलावरों को विकुंजा सिस्टम में अनधिकृत पहुंच प्राप्त करने की अनुमति देती है, क्योंकि वे TOTP दो-कारक प्रमाणीकरण को बायपास कर सकते हैं। इसका मतलब है कि हमलावर संवेदनशील कार्यों को निष्पादित कर सकते हैं, जैसे कि कार्यों को संशोधित करना, हटाना या बनाना, और संभावित रूप से सिस्टम डेटा तक पहुंच प्राप्त करना। इस भेद्यता का उपयोग विकुंजा सिस्टम के भीतर विशेषाधिकार वृद्धि के लिए भी किया जा सकता है, जिससे हमलावर अधिक नियंत्रण प्राप्त कर सकते हैं। चूंकि यह एक प्रमाणीकरण बाईपास है, इसलिए यह अन्य सिस्टमों के लिए भी खतरा पैदा कर सकता है जो विकुंजा के साथ एकीकृत हैं।

Organizations and individuals using Vikunja for task management, particularly those relying on OpenID Connect (OIDC) for authentication and enabling TOTP two-factor authentication, are at risk. Shared hosting environments where multiple Vikunja instances share the same server resources could also be affected if one instance is compromised.

• linux / server:

journalctl -u vikunja -g "oidc callback"

• generic web:

curl -I https://your-vikunja-instance/oidc/callback | grep -i "WWW-Authenticate: Bearer"

1. 2026-04-10Disclosure

   disclosure

1. आरक्षित2026-03-30
2. प्रकाशित2026-04-10
3. संशोधित2026-04-13
4. EPSS अद्यतन2026-04-18

इस भेद्यता को कम करने के लिए, विकुंजा को संस्करण 2.3.0 या बाद के संस्करण में तुरंत अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप OIDC ईमेल फ़ॉलबैक तंत्र को अक्षम करने पर विचार कर सकते हैं, लेकिन इससे सिस्टम की कार्यक्षमता प्रभावित हो सकती है। सुनिश्चित करें कि आपके वेब एप्लिकेशन फ़ायरवॉल (WAF) को इस प्रकार के हमलों का पता लगाने और उन्हें ब्लॉक करने के लिए कॉन्फ़िगर किया गया है। अपडेट के बाद, यह सत्यापित करें कि TOTP दो-कारक प्रमाणीकरण ठीक से काम कर रहा है और प्रमाणीकरण प्रक्रिया सुरक्षित है।