CVE-2026-30846 是 Wekan 项目中发现的信息泄露漏洞。该漏洞源于 globalwebhooks 发布订阅缺乏服务器端身份验证检查,允许未经身份验证的攻击者订阅并接收全局 webhook 配置信息。受影响的版本包括 8.31.0 及以上,但不包括 8.34。建议用户尽快升级至 8.34 版本以消除此风险。
攻击者利用此漏洞可以获取 Wekan 中配置的全局 webhook 的 URL 和认证令牌。这些令牌通常用于自动化任务或与其他服务集成,泄露这些信息可能允许攻击者冒充 Wekan 系统执行恶意操作,例如发送垃圾邮件、访问受保护的资源或进一步渗透到网络中。由于 webhook 配置可能包含敏感信息,例如数据库连接字符串或 API 密钥,攻击者还可以利用这些信息访问其他系统。此漏洞的潜在影响范围取决于 webhook 的配置和用途,可能涉及数据泄露、服务中断或系统被入侵。
该漏洞已公开披露,且由于其易于利用,可能存在被积极利用的风险。目前尚未观察到大规模的利用活动,但建议用户尽快采取措施进行缓解。该漏洞未被添加到 CISA KEV 目录中。公开的 PoC 存在,进一步增加了被利用的风险。
Organizations using Wekan for project management and task tracking, particularly those relying on webhooks for integration with other systems, are at risk. This includes teams using Wekan in shared hosting environments or with legacy configurations that may not have robust network security controls.
• nodejs / server:
# Check for Wekan version
npm list -g wekan• nodejs / server:
# Monitor DDP traffic for unauthorized subscriptions to globalwebhooks
# (Requires DDP monitoring tools)• generic web:
# Check Wekan instance for exposed DDP endpoints
curl -I http://your-wekan-instance/api/v1/public/globalwebhooksdisclosure
漏洞利用状态
EPSS
0.15% (35% 百分位)
CISA SSVC
最有效的缓解措施是立即将 Wekan 升级至 8.34 版本或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:限制对 Wekan 服务器的访问,仅允许授权用户访问;监控 Wekan 日志,查找异常活动;实施 Web 应用防火墙 (WAF) 规则,阻止对 globalwebhooks 端点的未经身份验证的访问。升级后,请确认新版本已正确部署,并且 webhook 配置信息不再暴露。
将 Wekan 更新到 8.34 或更高版本。此版本修复了在没有身份验证的情况下暴露全局 Webhook 集成的漏洞。升级将防止未经授权访问 Webhook URL 和令牌。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-30846 是 Wekan 项目中发现的一个信息泄露漏洞,由于 globalwebhooks 发布订阅缺乏身份验证,攻击者可以获取全局 webhook 配置信息,包括 URL 和令牌。
如果您正在使用 Wekan 8.31.0 及以上,8.34 以下版本,则可能受到此漏洞的影响。请立即检查您的 Wekan 版本。
建议立即将 Wekan 升级至 8.34 版本或更高版本以修复此漏洞。
虽然目前尚未观察到大规模的利用活动,但由于其易于利用,可能存在被积极利用的风险。
请访问 Wekan 官方网站或 GitHub 仓库,查找关于 CVE-2026-30846 的安全公告。