CVE-2026-30846は、オープンソースカンバンツールWekanにおける情報漏洩の脆弱性です。この脆弱性により、認証されていない攻撃者がグローバルWebhook設定にアクセスし、機密情報を取得する可能性があります。影響を受けるバージョンは8.31.0から8.33までであり、バージョン8.34で修正されています。
この脆弱性は、攻撃者がWekanインスタンスのグローバルWebhook設定に不正にアクセスすることを可能にします。Webhook設定には、外部サービスへのリクエストに使用されるURLや認証トークンなどの機密情報が含まれています。攻撃者はこれらの情報を利用して、不正なアクションを実行したり、機密データを盗んだりする可能性があります。例えば、攻撃者はWebhookを悪用して、機密情報を外部サーバーに送信したり、Wekanインスタンスの機能を妨害したりする可能性があります。この脆弱性は、Wekanをホストしているサーバーのセキュリティにも影響を与える可能性があります。
この脆弱性は、2026年3月6日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性はあります。CISA KEVリストへの登録状況は不明です。攻撃者は、DDPクライアントを使用して脆弱性を悪用する可能性があります。
Organizations using Wekan for project management and task tracking, particularly those relying on webhooks for integration with other systems, are at risk. This includes teams using Wekan in shared hosting environments or with legacy configurations that may not have robust network security controls.
• nodejs / server:
# Check for Wekan version
npm list -g wekan• nodejs / server:
# Monitor DDP traffic for unauthorized subscriptions to globalwebhooks
# (Requires DDP monitoring tools)• generic web:
# Check Wekan instance for exposed DDP endpoints
curl -I http://your-wekan-instance/api/v1/public/globalwebhooksdisclosure
エクスプロイト状況
EPSS
0.15% (35% パーセンタイル)
CISA SSVC
この脆弱性への最も効果的な対策は、Wekanをバージョン8.34にアップデートすることです。アップデートできない場合は、グローバルWebhook機能を一時的に無効にするか、アクセス制御を強化することを検討してください。WAF(Web Application Firewall)を導入し、不正なDDPリクエストをブロックすることも有効です。また、Wekanのログを監視し、異常なアクセスパターンを検出することも重要です。アップデート後、Webhook設定が適切に保護されていることを確認してください。
Wekan をバージョン 8.34 以降にアップデートしてください。このバージョンは、認証なしでグローバル Webhook 統合を公開する脆弱性を修正しています。アップデートすることで、Webhook の URL とトークンへの不正アクセスを防ぐことができます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-30846は、Wekan 8.31.0~8.33において、認証なしでグローバルWebhook設定を公開し、機密情報を漏洩させる脆弱性です。攻撃者はDDPクライアントを通じてこれらの情報を取得し、悪用可能です。
Wekanのバージョンが8.31.0~8.33の場合は、影響を受けます。バージョン8.34にアップデートすることで、この脆弱性を解消できます。
Wekanをバージョン8.34にアップデートしてください。アップデートできない場合は、グローバルWebhook機能を一時的に無効にするか、アクセス制御を強化することを検討してください。
現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性はあります。
Wekanの公式アドバイザリは、WekanのウェブサイトまたはGitHubリポジトリで確認できます。