Vikunja 是一个开源的自托管任务管理平台。从版本 0.21.0 开始，在版本 2.2.0 之前，Vikunja Desktop Electron 包装器在渲染器进程中启用了 `nodeIntegration`，而没有 `contextIsolation` 或 `sandbox`。这意味着 Vikunja Web 前端（当前或未来的）任何跨站脚本 (XSS) 漏洞都会自动升级为受害者的机器上的完全远程代码执行，因为注入的脚本可以访问 Node.js API。版本 2.2.0 修复了此问题。

该漏洞的潜在影响非常严重。攻击者可以利用 Vikunja Web 前端中已存在的或未来的 XSS 漏洞，通过注入恶意脚本，直接在受害者的机器上执行任意代码。这意味着攻击者可以完全控制受害者的系统，窃取敏感数据、安装恶意软件，甚至进行横向移动攻击，影响整个网络。由于 Vikunja 是一款任务管理平台，攻击者可能获取用户任务列表、日程安排、以及其他敏感信息。如果 Vikunja 部署在共享主机环境中，该漏洞可能影响多个用户。

Users who rely on Vikunja Desktop for task management, particularly those running versions 0.21.0 through 2.2.2, are at significant risk. This includes individuals and organizations using Vikunja for personal or professional task tracking. Shared hosting environments where Vikunja Desktop is installed could expose multiple users to the vulnerability if the application is not properly secured.

• windows / supply-chain: Monitor Vikunja Desktop processes for unusual network activity or unexpected file modifications. Use Windows Defender to scan for suspicious files or registry keys associated with Vikunja.

Get-Process -Name VikunjaDesktop | Select-Object -ExpandProperty Path

• linux / server: Monitor Vikunja Desktop application logs for signs of XSS attempts or unusual Node.js activity. Use lsof to identify open files and network connections associated with the Vikunja Desktop process.

lsof -p $(pidof VikunjaDesktop)

• generic web: If Vikunja is accessible via a web interface, perform regular security scans for XSS vulnerabilities. Review access and error logs for suspicious requests or payloads.

grep -i 'script' /var/log/apache2/access.log

1. 2026-03-24Disclosure

   disclosure

2. 2026-03-24Patch

   patch

1. 已保留2026-03-18
2. 发布日期2026-03-24
3. 修改日期2026-03-27
4. EPSS 更新日期2026-04-01

最有效的缓解措施是立即升级到 Vikunja 2.2.0 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，审查 Vikunja Web 前端代码，查找并修复任何潜在的 XSS 漏洞。其次，实施严格的输入验证和输出编码策略，以防止恶意脚本注入。第三，如果 Vikunja 部署在共享主机环境中，请与主机提供商沟通，了解他们是否采取了额外的安全措施来减轻该漏洞的影响。最后，监控 Vikunja 应用程序的日志，查找任何可疑活动。