CVE-2026-40896 in openprojectthông tin

Tóm tắt

Bởi VulDB • 14/05/2026

OpenProject là phần mềm quản lý dự án dựa trên web, mã nguồn mở. Trước phiên bản 17.3.0, một người dùng có quyền `manage_agendas` trong bất kỳ dự án nào có thể chèn các mục vào agenda vào các cuộc họp thuộc về bất kỳ dự án nào khác trên cùng một instance — kể cả những dự án mà họ không có quyền truy cập. Kẻ tấn công không cần biết thông tin về dự án mục tiêu, cuộc họp hoặc nạn nhân; chúng có thể chèn mù (blindly spray) các mục vào mọi cuộc họp trên instance bằng cách lặp qua các ID phần (section IDs) tuần tự. Phiên bản 17.3.0 đã vá lỗi này.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

GitHub M

Đặt trước

15/04/2026

Tiết lộ

20/04/2026

Kiểm duyệt

được chấp nhận

mục

VDB-358313

CPE

sẵn sàng

CWE

CWE-367 (Đã xác nhận)

CVSS

6.5 (CNA)

EPSS

0.00033

KEV

không

Các hoạt động

rất thấp

ngành

Finance, Pharma, ...

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40896
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40896
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40896/

◂ Trước Tổng Quan Tiếp theo ▸

Do you know our Splunk app?

Download it now for free!