Vikunja is an open-source self-hosted task management platform. Versions prior to 2.1.0 have a business logic vulnerability exists in the password reset mechanism of vikunja/api that allows password reset tokens to be reused indefinitely. Due to a failure to invalidate tokens upon use and a critical logic bug in the token cleanup cron job, reset tokens remain valid forever. This allows an attacker who intercepts a single reset token (via logs, browser history, or phishing) to perform a complete, persistent account takeover at any point in the future, bypassing standard authentication controls. Version 2.1.0 contains a patch for the issue.
Vikunja versions before 2.1.0 contain a critical password reset token vulnerability allowing indefinite reuse of tokens for account takeover. An attacker intercepting a single reset token can permanently compromise user accounts by bypassing authentication controls.
تحتوي ثغرة المنطق التجاري في آلية إعادة تعيين كلمة المرور على فشل في إلغاء الرموز عند الاستخدام وخلل حرج في وظيفة تنظيف الرموز الدورية. يسمح هذا للمهاجم الذي يعترض رمز إعادة تعيين واحد بتحقيق السيطرة الكاملة والدائمة على الحساب في أي وقت في المستقبل.
إصدارات Vikunja السابقة للإصدار 2.1.0 تحتوي على ثغرة حرجة في آلية إعادة تعيين كلمة المرور تسمح بإعادة استخدام الرموز بشكل غير محدود. يمكن لمهاجم اعتراض رمز واحد لتحقيق السيطرة الكاملة على الحساب بشكل دائم.
Immediately upgrade Vikunja to version 2.1.0 or later. Audit logs for intercepted reset tokens and force password resets for all users. Implement token expiration policies and validate token invalidation upon use. Monitor for suspicious account access patterns.
قم بترقية Vikunja فوراً إلى الإصدار 2.1.0 أو أحدث. تدقيق السجلات للرموز المعترضة وفرض إعادة تعيين كلمات المرور لجميع المستخدمين. تنفيذ سياسات انتهاء صلاحية الرموز والتحقق من إلغاء الرموز عند الاستخدام. مراقبة أنماط الوصول المريبة للحسابات.