opf openproject hasta 16.6.8/17.0.5/17.1.2/17.2.0 Repositories inyección SQL
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
Resumen
Se ha encontrado una vulnerabilidad clasificada como crítica en opf openproject hasta 16.6.8/17.0.5/17.1.2/17.2.0. Resulta afectada una función desconocida dentro del componente Repositories Module. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase inyección SQL. Esta vulnerabilidad se cataloga como CVE-2026-32698. El ataque se puede hacer desde la red. No se encuentra disponible ningún exploit. Se aconseja actualizar el componente afectado.
Detalles
Una vulnerabilidad clasificada como crítica fue encontrada en opf openproject hasta 16.6.8/17.0.5/17.1.2/17.2.0. Una función desconocida del componente Repositories Module es afectada por esta vulnerabilidad. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase inyección sql. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. El resumen de CVE es:
OpenProject es un software de gestión de proyectos de código abierto, basado en la web. Las versiones anteriores a 16.6.9, 17.0.6, 17.1.3 y 17.2.1 son vulnerables a un ataque de inyección SQL a través del nombre de un campo personalizado. Cuando ese campo personalizado se utilizaba en un Informe de Costos, el nombre del campo personalizado se inyectaba en la consulta SQL sin la sanitización adecuada. Esto permitía a un atacante ejecutar comandos SQL arbitrarios durante la generación de un Informe de Costos. Dado que los campos personalizados solo pueden ser generados por usuarios con privilegios de administrador completos, la superficie de ataque se reduce un poco. Junto con otro error en el módulo Repositories, que utilizaba el identificador del proyecto sin sanitización para generar la ruta de extracción para un repositorio git en el sistema de archivos, esto permitía a un atacante extraer un repositorio git a una ruta elegida arbitrariamente en el servidor. Si la extracción se realiza dentro de ciertas rutas dentro de la aplicación OpenProject, tras el siguiente reinicio de la aplicación, esto permite al atacante inyectar código ruby en la aplicación. Dado que el identificador del proyecto no puede ser editado manualmente a ninguna cadena que contenga caracteres especiales como puntos o barras, esto necesita ser cambiado a través de la inyección SQL descrita anteriormente. Las versiones 16.6.9, 17.0.6, 17.1.3 y 17.2.1 corrigen el problema.El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2026-32698. Resulta fácil de explotar. El ataque se puede hacer desde la red. La explotación necesita de una verificación múltiple de la autentificación. No se conoce los detalles técnicos ni hay ningún exploit disponible.
Una actualización a la versión 16.6.9, 17.0.6, 17.1.3 o 17.2.1 elimina esta vulnerabilidad.
La vulnerabilidad también está documentado en la base de datos EUVD (EUVD-2026-12966). If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Producto
Escribe
Proveedor
Nombre
Versión
- 16.6.0
- 16.6.1
- 16.6.2
- 16.6.3
- 16.6.4
- 16.6.5
- 16.6.6
- 16.6.7
- 16.6.8
- 17.0
- 17.0.0
- 17.0.1
- 17.0.2
- 17.0.3
- 17.0.4
- 17.0.5
- 17.1
- 17.1.0
- 17.1.1
- 17.1.2
- 17.2.0
Sitio web
- Producto: https://github.com/opf/openproject/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 7.0VulDB Puntuación meta temporal: 6.9
VulDB Puntuación base: 4.7
VulDB Puntuación temporal: 4.5
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍
NVD Puntuación base: 7.2
NVD Vector: 🔒
CNA Puntuación base: 9.1
CNA Vector (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍
Explotación
Clase: Inyección SQLCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔒
Estado: No está definido
EPSS Score: 🔒
EPSS Percentile: 🔒
Predicción de precios: 🔍
Estimación del precio actual: 🔒
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔒
Actualización: openproject 16.6.9/17.0.6/17.1.3/17.2.1
Línea de tiempo
2026-03-13 CVE asignado2026-03-18 Aviso publicado
2026-03-18 Entrada de VulDB creada
2026-03-23 Última actualización de VulDB
Fuentes
Producto: github.comAviso: GHSA-jqhf-rf9x-9rhx
Estado: Confirmado
CVE: CVE-2026-32698 (🔒)
GCVE (CVE): GCVE-0-2026-32698
GCVE (VulDB): GCVE-100-351613
EUVD: 🔒
Artículo
Fecha de creación: 2026-03-18 23:47Actualizado: 2026-03-23 19:04
Cambios: 2026-03-18 23:47 (66), 2026-03-19 04:04 (1), 2026-03-22 14:15 (11), 2026-03-23 19:04 (1)
Completo: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.