CVE-2026-28268 – Vikunja Vulnerable to Account Takeover via Password Reset Token Reuse

CVE ID : CVE-2026-28268

Published : Feb. 27, 2026, 9:16 p.m. | 19 minutes ago

Description : Vikunja is an open-source self-hosted task management platform. Versions prior to 2.1.0 have a business logic vulnerability exists in the password reset mechanism of vikunja/api that allows password reset tokens to be reused indefinitely. Due to a failure to invalidate tokens upon use and a critical logic bug in the token cleanup cron job, reset tokens remain valid forever. This allows an attacker who intercepts a single reset token (via logs, browser history, or phishing) to perform a complete, persistent account takeover at any point in the future, bypassing standard authentication controls. Version 2.1.0 contains a patch for the issue.

Severity: 9.8 | CRITICAL

Visit the link for more details, such as CVSS details, affected products, timeline, and more…

CVE-2026-28268 – Vikunja Vulnerable to Account Takeover via Password Reset Token Reuse

تکمیل ظرفیت سرور لهستان

سرور مناسب برای ترید و ارز دیجیتال

دیتاسنتر جدید در لهستان

سرور های جدید از اسپانیا

AMD EPYC & Ryzen از کشور انگلستان

آفر های جدید AMD EPYC و AMD Ryzen

آفر سرور اختصاصی از آمریکا

افزایش قیمت دامنه های ir از ۳۱ خرداد

افزایش قیمت جهانی دامنه .com

آفر های جدید سرور اختصاصی مرداد 1403

CVE-2026-28422 – Vim has stack-buffer-overflow in build_stl_str_hl()

سرور های جدید از روسیه-وارز

تخفیف ویژه دامنه .ASIA

ثبت دامنه .IO

انتقال رایگان پسوند دامنه PW

Kerio Control 9.2.4 Build 2223

نوشته های مشابه

CVE-2026-2647 – CVE-2022-1234: Apache HTTP Server Remote Code Execution Vulnerability

CVE-2026-28517 – openDCIM

CVE-2026-28516 – openDCIM

CVE-2026-28425 – Statamic vulnerable to remote code execution via Antlers-enabled control panel inputs