Vulnerability Details CVE-2026-35601
Vikunja is an open-source self-hosted task management platform. Prior to 2.3.0, the CalDAV output generator builds iCalendar VTODO entries via raw string concatenation without applying RFC 5545 TEXT value escaping. User-controlled task titles containing CRLF characters break the iCalendar property boundary, allowing injection of arbitrary iCalendar properties such as ATTACH, VALARM, or ORGANIZER. This vulnerability is fixed in 2.3.0.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 8.1%
CVSS Severity
CVSS v3 Score 4.1
References
Products affected by CVE-2026-35601
-
cpe:2.3:a:vikunja:vikunja:0.1
-
cpe:2.3:a:vikunja:vikunja:0.10
-
cpe:2.3:a:vikunja:vikunja:0.11
-
cpe:2.3:a:vikunja:vikunja:0.12
-
cpe:2.3:a:vikunja:vikunja:0.13
-
cpe:2.3:a:vikunja:vikunja:0.13.1
-
cpe:2.3:a:vikunja:vikunja:0.14.0
-
cpe:2.3:a:vikunja:vikunja:0.14.1
-
cpe:2.3:a:vikunja:vikunja:0.15.0
-
cpe:2.3:a:vikunja:vikunja:0.15.1
-
cpe:2.3:a:vikunja:vikunja:0.16.0
-
cpe:2.3:a:vikunja:vikunja:0.16.1
-
cpe:2.3:a:vikunja:vikunja:0.17.0
-
cpe:2.3:a:vikunja:vikunja:0.17.1
-
cpe:2.3:a:vikunja:vikunja:0.18.0
-
cpe:2.3:a:vikunja:vikunja:0.18.1
-
cpe:2.3:a:vikunja:vikunja:0.19.0
-
cpe:2.3:a:vikunja:vikunja:0.19.1
-
cpe:2.3:a:vikunja:vikunja:0.19.2
-
cpe:2.3:a:vikunja:vikunja:0.2
-
cpe:2.3:a:vikunja:vikunja:0.20.0
-
cpe:2.3:a:vikunja:vikunja:0.20.1
-
cpe:2.3:a:vikunja:vikunja:0.20.2
-
cpe:2.3:a:vikunja:vikunja:0.20.3
-
cpe:2.3:a:vikunja:vikunja:0.20.4
-
cpe:2.3:a:vikunja:vikunja:0.20.5
-
cpe:2.3:a:vikunja:vikunja:0.21.0
-
cpe:2.3:a:vikunja:vikunja:0.22.0
-
cpe:2.3:a:vikunja:vikunja:0.22.1
-
cpe:2.3:a:vikunja:vikunja:0.23.0
-
cpe:2.3:a:vikunja:vikunja:0.24.0
-
cpe:2.3:a:vikunja:vikunja:0.24.1
-
cpe:2.3:a:vikunja:vikunja:0.24.2
-
cpe:2.3:a:vikunja:vikunja:0.24.3
-
cpe:2.3:a:vikunja:vikunja:0.24.4
-
cpe:2.3:a:vikunja:vikunja:0.24.5
-
cpe:2.3:a:vikunja:vikunja:0.24.6
-
cpe:2.3:a:vikunja:vikunja:0.3
-
cpe:2.3:a:vikunja:vikunja:0.4
-
cpe:2.3:a:vikunja:vikunja:0.5
-
cpe:2.3:a:vikunja:vikunja:0.6
-
cpe:2.3:a:vikunja:vikunja:0.7
-
cpe:2.3:a:vikunja:vikunja:0.8
-
cpe:2.3:a:vikunja:vikunja:0.9
-
cpe:2.3:a:vikunja:vikunja:1.0.0
-
cpe:2.3:a:vikunja:vikunja:1.1.0
-
cpe:2.3:a:vikunja:vikunja:2.0.0
-
cpe:2.3:a:vikunja:vikunja:2.1.0