Vikunja is an open-source self-hosted task management platform. Starting in version 0.21.0 and prior to version 2.2.0, the Vikunja Desktop Electron wrapper enables `nodeIntegration` in the renderer process without `contextIsolation` or `sandbox`. This means any cross-site scripting (XSS) vulnerability in the Vikunja web frontend -- present or future -- automatically escalates to full remote code execution on the victim's machine, as injected scripts gain access to Node.js APIs. Version 2.2.0 fix

De impact van deze kwetsbaarheid is significant. Omdat nodeIntegration is ingeschakeld zonder contextIsolation of sandbox, kan een XSS-exploitatie in de Vikunja webfrontend direct leiden tot remote code execution (RCE) op de machine van het slachtoffer. Dit betekent dat een aanvaller volledige controle kan krijgen over het systeem, inclusief toegang tot gevoelige data en de mogelijkheid om malware te installeren. De kwetsbaarheid is vergelijkbaar met scenario's waarbij een XSS-aanval wordt gebruikt om toegang te krijgen tot de Node.js API's, waardoor de aanvaller verder kan gaan dan de webpagina zelf. De ernst van de kwetsbaarheid wordt versterkt door het feit dat Vikunja vaak wordt gebruikt voor het beheren van taken en projecten, wat betekent dat er mogelijk gevoelige informatie in de applicatie wordt opgeslagen.

Users who rely on Vikunja Desktop for task management, particularly those running versions 0.21.0 through 2.2.2, are at significant risk. This includes individuals and organizations using Vikunja for personal or professional task tracking. Shared hosting environments where Vikunja Desktop is installed could expose multiple users to the vulnerability if the application is not properly secured.

• windows / supply-chain: Monitor Vikunja Desktop processes for unusual network activity or unexpected file modifications. Use Windows Defender to scan for suspicious files or registry keys associated with Vikunja.

Get-Process -Name VikunjaDesktop | Select-Object -ExpandProperty Path

• linux / server: Monitor Vikunja Desktop application logs for signs of XSS attempts or unusual Node.js activity. Use lsof to identify open files and network connections associated with the Vikunja Desktop process.

lsof -p $(pidof VikunjaDesktop)

• generic web: If Vikunja is accessible via a web interface, perform regular security scans for XSS vulnerabilities. Review access and error logs for suspicious requests or payloads.

grep -i 'script' /var/log/apache2/access.log

1. 2026-03-24Disclosure

   disclosure

2. 2026-03-24Patch

   patch

1. Gereserveerd2026-03-18
2. Gepubliceerd2026-03-24
3. Gewijzigd2026-03-27
4. EPSS bijgewerkt2026-04-01

De primaire mitigatie is het upgraden van Vikunja naar versie 2.2.0 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de Vikunja applicatie via een Web Application Firewall (WAF) of proxy. Configureer de WAF om XSS-pogingen te detecteren en te blokkeren. Controleer de configuratie van de Electron wrapper om er zeker van te zijn dat contextIsolation en sandbox zijn ingeschakeld, indien mogelijk. Monitor de logs van de Vikunja applicatie op verdachte activiteiten die kunnen wijzen op een poging tot exploitatie.