Plataforma
go
Componente
go-vikunja/vikunja
Corrigido em
2.3.1
O CVE-2026-34727 é uma vulnerabilidade de bypass de autenticação descoberta no Vikunja, uma plataforma de gerenciamento de tarefas auto-hospedada. Essa falha permite que um atacante obtenha tokens JWT (JSON Web Tokens) sem a verificação do segundo fator de autenticação TOTP (Time-based One-Time Password) para usuários com TOTP habilitado. A vulnerabilidade afeta versões do Vikunja anteriores à 2.3.0 e foi corrigida nesta versão.
Um atacante pode explorar essa vulnerabilidade para obter acesso não autorizado a contas de usuário no Vikunja. Ao contornar a autenticação de dois fatores, o atacante pode efetivamente se passar por um usuário legítimo e acessar suas tarefas, listas e outros dados confidenciais. O impacto potencial inclui roubo de dados, modificação de tarefas e acesso a informações sensíveis armazenadas na plataforma. A ausência da verificação TOTP torna o processo de autenticação significativamente mais fácil para um invasor, aumentando o risco de comprometimento da conta.
O CVE-2026-34727 foi publicado em 2026-04-10. Atualmente, não há informações sobre exploração ativa em campanhas direcionadas. Não está listado no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um PoC público não foi confirmada, mas a natureza da vulnerabilidade (bypass de autenticação) sugere que um PoC pode ser desenvolvido relativamente facilmente.
Organizations and individuals using Vikunja for task management, particularly those relying on OpenID Connect (OIDC) for authentication and enabling TOTP two-factor authentication, are at risk. Shared hosting environments where multiple Vikunja instances share the same server resources could also be affected if one instance is compromised.
• linux / server:
journalctl -u vikunja -g "oidc callback"• generic web:
curl -I https://your-vikunja-instance/oidc/callback | grep -i "WWW-Authenticate: Bearer"disclosure
Status do Exploit
EPSS
0.04% (percentil 14%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2026-34727 é a atualização imediata para a versão 2.3.0 do Vikunja. Se a atualização imediata não for possível, considere desabilitar o login via OIDC (OpenID Connect) temporariamente como uma medida de segurança. Monitore os logs do Vikunja em busca de atividades suspeitas, como tentativas de login com endereços de e-mail desconhecidos. Implemente políticas de senhas fortes e incentive os usuários a habilitarem a autenticação de dois fatores (TOTP) em outras contas, para reduzir o impacto de um possível comprometimento.
Atualize Vikunja para a versão 2.3.0 ou posterior para evitar que a autenticação de dois fatores TOTP seja ignorada ao fazer login via OIDC. Esta atualização corrige o problema verificando se o usuário tem TOTP habilitado antes de emitir um token JWT.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34727 is a vulnerability in Vikunja versions 0.0.0 through 2.2.9 that allows attackers to bypass two-factor authentication (TOTP) when using OpenID Connect (OIDC) with email fallback.
You are affected if you are using Vikunja versions 0.0.0 through 2.2.9 and have OIDC configured with email fallback and TOTP enabled.
Upgrade Vikunja to version 2.3.0 or later to resolve the vulnerability. As a temporary workaround, disable OIDC email fallback.
There is currently no evidence of active exploitation in the wild, and no public proof-of-concept exploits are available.
Refer to the official Vikunja security advisory on their website or GitHub repository for detailed information and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.