CVE-2026-33334Vikunja是一款开源自托管任务管理平台。在0.21.0至2.2.0之前的版本中,其桌面版Electron包装器在渲染进程中启用了`nodeIntegration`,且未配置`contextIsolation`或`sandbox`。这种不安全的配置导致Web前端的任意跨站脚本(XSS)漏洞均可自动升级为受害者机器上的完全远程代码执行(RCE),攻击者可通过注入脚本直接访问Node.js API,从而控制系统。
该漏洞的核心在于Vikunja Desktop Electron应用程序的不安全配置。通常,Electron应用应禁用渲染进程的`nodeIntegration`以防止网页直接访问Node.js环境,或者至少结合`contextIsolation`和`sandbox`来隔离渲染进程。然而,受影响版本不仅启用了`nodeIntegration`,还关闭了沙箱和上下文隔离。这种配置消除了Web前端与底层操作系统之间的安全边界。一旦攻击者在Vikunja的Web界面中发现并利用一个XSS漏洞(例如通过创建包含恶意脚本的任务标题),当受害者使用桌面客户端查看该内容时,恶意JavaScript代码将直接在Node.js上下文中执行。攻击者可以利用`require('child_process')`模块执行任意系统命令,如弹出计算器、读取敏感文件或建立反向Shell,从而完全控制受害者的主机。这本质上是一个从Web漏洞到本地系统RCE的致命跨越。