الثغرات ›

CVE-2026-25564

مرتفع

WeKan versions prior to 8.19 contain an insecure direct object reference (IDOR) in checklist creation and related checklist routes. The implementation does not verify that the supplied cardId belongs

CWE-639 — نوع الضعف

                    نُشر: Feb 7, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

WeKan versions prior to 8.19 contain an insecure direct object reference (IDOR) in checklist creation and related checklist routes. The implementation does not verify that the supplied cardId belongs to the supplied boardId, allowing cross-board ID tampering by manipulating identifiers.

🤖 ملخص AI

WeKan versions before 8.19 contain an IDOR vulnerability in checklist creation that allows attackers to manipulate card and board identifiers across different boards. An attacker can create checklists on cards in unauthorized boards by tampering with object references without proper validation.

📄 الوصف (العربية)

تحتوي WeKan على ثغرة مرجع كائن مباشر غير آمن (IDOR) في وظائف إنشاء قوائم التحقق والمسارات ذات الصلة. الثغرة تسمح للمهاجمين بالوصول والتلاعب بالبيانات عبر لوحات مختلفة من خلال تعديل معرفات البطاقات واللوحات دون التحقق من الصلاحيات.

🤖 ملخص تنفيذي (AI)

إصدارات WeKan السابقة للإصدار 8.19 تحتوي على ثغرة IDOR في إنشاء قوائم التحقق تسمح للمهاجمين بمعالجة معرفات البطاقات واللوحات عبر لوحات مختلفة. يمكن للمهاجم إنشاء قوائم تحقق على بطاقات في لوحات غير مصرح بها من خلال التلاعب بمراجع الكائنات بدون التحقق المناسب.

🤖 التحليل الذكي آخر تحليل: May 4, 2026 00:32

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking telecom

🎯 تقنيات MITRE ATT&CK

T1548 T1078 T1190

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade WeKan to version 8.19 or later immediately. Implement proper authorization checks to verify that cardId belongs to the supplied boardId before allowing checklist operations. Conduct a security audit of all object reference handling in the application.

🔧 خطوات المعالجة (العربية)

قم بترقية WeKan إلى الإصدار 8.19 أو أحدث على الفور. قم بتنفيذ فحوصات تفويض مناسبة للتحقق من أن معرف البطاقة ينتمي إلى معرف اللوحة المزود قبل السماح بعمليات قائمة التحقق. أجرِ تدقيقًا أمنيًا لجميع معالجات مراجع الكائنات في التطبيق.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

AC-3 AC-4

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 3

🔗

https://github.com/wekan/wekan/commit/08a6f084eba09487743a7c807fb4a9000fcfa9ac

disclosure@vulncheck.com

Patch

🔗

https://wekan.fi/

disclosure@vulncheck.com

Product

🔗

https://www.vulncheck.com/advisories/wekan-checklist-deletion-idor-via-missing-relation...

disclosure@vulncheck.com

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

wekan_project:wekan

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-639

EPSS0.01%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-02-07

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

patch-available CWE-639

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-25564

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب