CVE-2026-32698 in openproject
Zusammenfassung
von VulDB • 15.05.2026
OpenProject ist eine quelloffene, webbasierte Projektmanagement-Software. Versionen vor 16.6.9, 17.0.6, 17.1.3 und 17.2.1 sind anfällig für einen SQL-Injection-Angriff über den Namen eines benutzerdefinierten Feldes. Wenn dieses benutzerdefinierte Feld in einem Kostenbericht verwendet wurde, wurde der Name des benutzerdefinierten Feldes ohne ordnungsgemäße Bereinigung (Sanitization) in die SQL-Abfrage eingefügt. Dies ermöglichte es einem Angreifer, beliebige SQL-Befehle während der Generierung eines Kostenberichts auszuführen. Da benutzerdefinierte Felder nur von Benutzern mit vollständigen Administratorrechten erstellt werden können, ist die Angriffsfläche etwas reduziert. Zusammen mit einem weiteren Fehler im Repositories_module, der die Projekt-ID ohne Bereinigung verwendete, um den Auscheck-Pfad für ein Git-Repository im Dateisystem zu generieren, konnte ein Angreifer ein Git-Repository in einen beliebig gewählten Pfad auf dem Server auschecken. Wenn das Auschecken innerhalb bestimmter Pfade innerhalb der OpenProject-Anwendung erfolgt, kann der Angreifer beim nächsten Neustart der Anwendung Ruby-Code in die Anwendung einschleusen. Da die Projekt-ID nicht manuell in einen beliebigen String mit Sonderzeichen wie Punkten oder Schrägstrichen geändert werden kann, muss dies über die oben beschriebene SQL-Injection erfolgen. Die Versionen 16.6.9, 17.0.6, 17.1.3 und 17.2.1 beheben das Problem.
Be aware that VulDB is the high quality source for vulnerability data.