Vikunja é uma plataforma de gerenciamento de tarefas auto-hospedada de código aberto. A partir da versão 0.21.0 e anterior à versão 2.2.0, o wrapper Electron Desktop do Vikunja habilita `nodeIntegration` no processo de renderização sem `contextIsolation` ou `sandbox`. Isso significa que qualquer vulnerabilidade de cross-site scripting (XSS) no frontend web do Vikunja -- presente ou futura -- é automaticamente elevada para execução remota completa de código na máquina da vítima, pois os scripts injetados obtêm acesso às APIs Node.js. A versão 2.2.0 corrige o problema.

A ausência de contextIsolation e sandbox no Vikunja Desktop Electron permite que qualquer script XSS injetado no frontend web acesse diretamente as APIs do Node.js. Isso significa que um atacante pode executar código arbitrário no contexto do usuário, potencialmente roubando dados sensíveis, instalando malware ou comprometendo a segurança do sistema. O impacto é significativo, pois a vulnerabilidade permite a execução de código com as permissões do usuário Vikunja, abrindo caminho para ataques mais sofisticados e potencialmente permitindo o acesso a outros serviços na rede. A vulnerabilidade se assemelha a cenários onde a falta de isolamento entre o processo de renderização e o processo principal permite a exploração de vulnerabilidades web para obter controle total sobre a aplicação.

Users who rely on Vikunja Desktop for task management, particularly those running versions 0.21.0 through 2.2.2, are at significant risk. This includes individuals and organizations using Vikunja for personal or professional task tracking. Shared hosting environments where Vikunja Desktop is installed could expose multiple users to the vulnerability if the application is not properly secured.

• windows / supply-chain: Monitor Vikunja Desktop processes for unusual network activity or unexpected file modifications. Use Windows Defender to scan for suspicious files or registry keys associated with Vikunja.

Get-Process -Name VikunjaDesktop | Select-Object -ExpandProperty Path

• linux / server: Monitor Vikunja Desktop application logs for signs of XSS attempts or unusual Node.js activity. Use lsof to identify open files and network connections associated with the Vikunja Desktop process.

lsof -p $(pidof VikunjaDesktop)

• generic web: If Vikunja is accessible via a web interface, perform regular security scans for XSS vulnerabilities. Review access and error logs for suspicious requests or payloads.

grep -i 'script' /var/log/apache2/access.log

1. 2026-03-24Disclosure

   disclosure

2. 2026-03-24Patch

   patch

1. Reservado2026-03-18
2. Publicada2026-03-24
3. Modificada2026-03-27
4. EPSS atualizado2026-04-01

A mitigação primária é a atualização para a versão 2.2.0 do Vikunja Desktop Electron, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à aplicação e monitorar o tráfego de rede em busca de atividades suspeitas. Implementar uma Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS pode oferecer uma camada adicional de proteção. É crucial revisar e fortalecer as políticas de segurança da aplicação Vikunja, garantindo que as práticas de codificação seguras sejam seguidas para evitar futuras vulnerabilidades.