WeKan versions prior to 8.19 contain an authorization weakness in the attachment upload API. The API does not fully validate that provided identifiers (such as boardId, cardId, swimlaneId, and listId) are consistent and refer to a coherent card/board relationship, enabling attempts to upload attachments with mismatched object relationships.
WeKan versions before 8.19 have an authorization flaw in the attachment upload API that fails to validate object relationship consistency, allowing attackers to upload attachments with mismatched identifiers. This vulnerability could enable unauthorized file uploads or data manipulation through inconsistent board, card, and list relationships.
يحتوي WeKan على ضعف في التفويض في واجهة برمجة تطبيقات تحميل المرفقات حيث لا يتم التحقق الكامل من اتساق معرفات الكائنات مثل boardId و cardId و swimlaneId و listId. يسمح هذا الضعف للمهاجمين بمحاولة تحميل المرفقات برموز معرّفات غير متطابقة، مما قد يؤدي إلى الوصول غير المصرح به أو التلاعب بالبيانات.
إصدارات WeKan السابقة للإصدار 8.19 تحتوي على ضعف في التفويض في واجهة برمجة تطبيقات تحميل المرفقات، حيث لا يتم التحقق الكامل من اتساق العلاقات بين الكائنات. يمكن للمهاجمين تحميل المرفقات برموز معرّفات غير متطابقة، مما قد يؤدي إلى الوصول غير المصرح به أو التلاعب بالبيانات.
Upgrade WeKan to version 8.19 or later immediately. Implement strict server-side validation of all object identifiers (boardId, cardId, swimlaneId, listId) to ensure they form coherent relationships before processing attachment uploads. Apply input validation and relationship integrity checks across all API endpoints.
قم بترقية WeKan إلى الإصدار 8.19 أو أحدث على الفور. طبق التحقق الصارم من جانب الخادم لجميع معرفات الكائنات للتأكد من اتساق العلاقات قبل معالجة تحميل المرفقات. طبق التحقق من الإدخال والتحقق من سلامة العلاقات عبر جميع نقاط نهاية واجهة برمجة التطبيقات.