CVE-2026-32698 in openproject
要約
〜によって VulDB • 2026年05月29日
OpenProjectは、オープンソースのWebベースプロジェクト管理ソフトウェアです。バージョン16.6.9、17.0.6、17.1.3、および17.2.1より前のバージョンは、カスタムフィールド名を介したSQLインジェクション攻撃に対して脆弱です。そのカスタムフィールドがコストレポートで使用された場合、カスタムフィールド名が適切なサニタイズ処理なしでSQLクエリに挿入されました。これにより、攻撃者はコストレポートの生成中に任意のSQLコマンドを実行することができました。カスタムフィールドは完全な管理者権限を持つユーザーのみが生成できるため、攻撃面はある程度制限されています。さらに、リポジトリモジュールにおける別のバグ(プロジェクト識別子をサニタイズせずに使用して、ファイルシステム内のGitリポジトリのチェックアウトパスを生成していたもの)と組み合わさることで、攻撃者はGitリポジトリをサーバー上の任意のパスにチェックアウトすることが可能になりました。チェックアウトがOpenProjectアプリケーション内の特定のパス内で行われた場合、アプリケーションの次回再起動時に、攻撃者はアプリケーションにRubyコードを注入できます。プロジェクト識別子は、ドットやスラッシュなどの特殊文字を含む文字列に手動で変更できないため、上記のSQLインジェクションを介して変更する必要があります。バージョン16.6.9、17.0.6、17.1.3、および17.2.1でこの問題は修正されています。
Be aware that VulDB is the high quality source for vulnerability data.