Kanboard: Sicherheitslücke ermöglicht Kontoübernahme | heise online

In der quelloffenen Kanban-Software Kanboard haben die Entwickler mit einer aktualisierten Software-Version eine hochriskante Schwachstelle ausgebessert. Angreifer können dadurch Kanboard-Konten übernehmen.

Die Kanboard-Entwickler erörtern die Sicherheitslücke in einer Sicherheitsmitteilung im Github-Repository. „Kanboard ermöglicht den Versand von E-Mails zum Zurücksetzen von Passwörtern mit URLs, die aus dem nicht überprüften Host-Header stammen, wenn die Konfiguration ‚application_url‘ nicht gesetzt ist – was die Standardeinstellung von Kanboard ist. Angreifer können einen bösartigen Link zum Passwortrücksetzen erstellen, der das Token an eine Angreifer-kontrollierte Domain weiterleitet. Wenn Opfer – einschließlich Administratoren – auf den bösartig manipulierten Link klicken, können Angreifer das Konto übernehmen. Dies betrifft alle Benutzer, die ein Passwort-Reset anstoßen, während ‚application_url‘ nicht gesetzt ist“, schreiben sie dort (CVE-2025-52560 / EUVD-2025-18976, CVSS 8.1, Risiko „hoch„).

Kanboard: Verwundbare Versionen

Offenbar ist zudem etwas Social Engineering nötig, um potenzielle Opfer zum Anfordern eines Passwort-Resets zu bewegen. Der Fehler betrifft Kanboard vor der aktuellen Fassung 1.2.46. Am Sonntag haben die Entwickler das Update herausgegeben. Die Release-Notes zu Kanboard 1.2.46 nennen neben dieser Sicherheitskorrektur weitere Fehlerbehebungen und teils neue Funktionen. Ein wichtiger Hinweis ist etwa, dass PHP 7.4 nicht mehr unterstützt wird, Kanboard 1.2.46 setzt mindestens PHP 8.1 voraus; das Docker-Image nutzt standardmäßig PHP 8.4.

Admins sollten das Update zeitnah installieren, da die Risikoeinstufung „hoch“ lautet. Die Kanboard-Entwickler stellen aktualisierte Quellen und auch Docker-Container bereit, sie verlinken sie in den Release-Notes und erörtern das Docker-Update.

(dmk)