Platform
go
Component
go-vikunja/vikunja
Opgelost in
2.3.1
CVE-2026-34727 beschrijft een authenticatie bypass kwetsbaarheid in Vikunja, een open-source self-hosted task management platform. Deze kwetsbaarheid stelt aanvallers in staat om toegang te krijgen tot accounts zonder de vereiste twee-factor authenticatie (TOTP) te doorlopen. De kwetsbaarheid treedt op in versies van Vikunja van 0.0.0 tot en met 2.2.9. Een fix is beschikbaar in versie 2.3.0.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde toegang te verkrijgen tot een Vikunja account. Dit kan leiden tot het compromitteren van taken, notities en andere gevoelige informatie die in het platform zijn opgeslagen. Aangezien Vikunja vaak wordt gebruikt voor het beheren van persoonlijke en professionele taken, kan de impact variëren van het verlies van productiviteit tot het blootleggen van vertrouwelijke gegevens. De aanval kan plaatsvinden via de OIDC (OpenID Connect) callback handler, waarbij de gebruiker wordt omgeleid na authenticatie via een externe provider. Het ontbreken van TOTP verificatie maakt het mogelijk om de account te overnemen zonder de extra beveiligingslaag.
Op het moment van publicatie (2026-04-10) is er geen vermelding op CISA KEV. Er zijn geen publieke proof-of-concept exploits bekend, maar de kwetsbaarheid is significant vanwege de mogelijkheid om authenticatie volledig te omzeilen. De impact is verhoogd door het feit dat Vikunja vaak wordt gebruikt voor het beheren van gevoelige informatie.
Organizations and individuals using Vikunja for task management, particularly those relying on OpenID Connect (OIDC) for authentication and enabling TOTP two-factor authentication, are at risk. Shared hosting environments where multiple Vikunja instances share the same server resources could also be affected if one instance is compromised.
• linux / server:
journalctl -u vikunja -g "oidc callback"• generic web:
curl -I https://your-vikunja-instance/oidc/callback | grep -i "WWW-Authenticate: Bearer"disclosure
Exploit Status
EPSS
0.04% (14% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-34727 is het upgraden van Vikunja naar versie 2.3.0 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van OIDC authenticatie en het terugkeren naar lokale gebruikersauthenticatie. Implementeer strikte monitoring op ongebruikelijke inlogpogingen en configureer WAF (Web Application Firewall) regels om verdachte OIDC callback verzoeken te blokkeren. Controleer de Vikunja logs op indicaties van misbruik, zoals onverwachte JWT tokens. Na de upgrade, verifieer de fix door te proberen in te loggen via OIDC met een account die TOTP heeft ingeschakeld en controleer of de tweede factor wordt geverifieerd.
Werk Vikunja bij naar versie 2.3.0 of hoger om te voorkomen dat two-factor authenticatie TOTP wordt overgeslagen bij het inloggen via OIDC. Deze update corrigeert het probleem door te controleren of de gebruiker TOTP heeft ingeschakeld voordat een JWT token wordt uitgegeven.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34727 is a vulnerability in Vikunja versions 0.0.0 through 2.2.9 that allows attackers to bypass two-factor authentication (TOTP) when using OpenID Connect (OIDC) with email fallback.
You are affected if you are using Vikunja versions 0.0.0 through 2.2.9 and have OIDC configured with email fallback and TOTP enabled.
Upgrade Vikunja to version 2.3.0 or later to resolve the vulnerability. As a temporary workaround, disable OIDC email fallback.
There is currently no evidence of active exploitation in the wild, and no public proof-of-concept exploits are available.
Refer to the official Vikunja security advisory on their website or GitHub repository for detailed information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.