CVE-2026-32698 in openproject
요약
\~에 의해 VulDB • 2026. 05. 29.
OpenProject는 오픈 소스 기반의 웹 프로젝트 관리 소프트웨어입니다. 버전 16.6.9, 17.0.6, 17.1.3 및 17.2.1 이전 버전은 사용자 정의 필드 이름을 통해 SQL Injection 공격에 취약합니다. 해당 사용자 정의 필드가 Cost Report에서 사용될 경우, 사용자 정의 필드 이름이 적절한 sanitization 없이 SQL 쿼리에 삽입되었습니다. 이로 인해 공격자는 Cost Report 생성 중 임의의 SQL 명령을 실행할 수 있었습니다. 사용자 정의 필드는 전체 관리자 권한이 있는 사용자만 생성할 수 있으므로 공격 표면이 다소 축소됩니다. 또한 Repositories_module의 다른 버그와 결합하여, 이 버그는 파일 시스템 내 git 저장소의 checkout 경로를 생성할 때 sanitization 없이 프로젝트 식별자를 사용했습니다. 이를 통해 공격자는 서버의 임의의 경로에 git 저장소를 checkout할 수 있었습니다. 만약 checkout이 OpenProject 애플리케이션 내 특정 경로 내에서 수행되면, 애플리케이션 재시작 시 공격자는 애플리케이션에 Ruby 코드를 삽입할 수 있습니다. 프로젝트 식별자는 점이나 슬래시와 같은 특수 문자를 포함하는 문자열로 수동 편집할 수 없으므로, 이는 위에서 설명한 SQL Injection을 통해 변경되어야 합니다. 버전 16.6.9, 17.0.6, 17.1.3 및 17.2.1에서 해당 문제가 해결되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.