Plataforma
other
Componente
openproject
Corregido en
17.2.1
La vulnerabilidad CVE-2026-31974 es una falla de tipo SSRF (Server-Side Request Forgery) presente en OpenProject, un software de gestión de proyectos web de código abierto. Un atacante con acceso puede aprovechar esta vulnerabilidad para mapear hosts internos y determinar qué servicios y puertos son accesibles. Esta falla afecta a versiones de OpenProject hasta la 17.2.0, y se recomienda actualizar a la versión 17.2.0 para solucionar el problema.
Esta vulnerabilidad SSRF permite a un atacante, con acceso a la configuración de OpenProject, enviar solicitudes a hosts internos que normalmente no serían accesibles desde el exterior. Al manipular el endpoint de prueba SMTP (POST /admin/settings/mail_notifications), el atacante puede especificar hosts y puertos arbitrarios. Las diferencias en el comportamiento de la respuesta, basadas en la existencia del IP objetivo y la apertura del puerto, pueden ser utilizadas para identificar servicios internos y su estado. Esto podría revelar información sensible sobre la infraestructura interna, como la presencia de bases de datos, servidores de aplicaciones o servicios de control. Aunque la severidad es baja, la capacidad de mapear la red interna representa un riesgo significativo, especialmente en entornos con una superficie de ataque interna mal protegida.
La vulnerabilidad fue publicada el 11 de marzo de 2026. No se ha reportado explotación activa en campañas conocidas. La vulnerabilidad no figura en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de la redacción. La evaluación inicial de CVSS indica una severidad baja (3.0), lo que sugiere una probabilidad de explotación relativamente baja, aunque el impacto potencial en la red interna no debe subestimarse.
Organizations using OpenProject for project management, particularly those with internal services accessible from the web server, are at risk. Shared hosting environments where multiple OpenProject instances share the same server are also potentially vulnerable, as an attacker could exploit the SSRF to gain access to other services running on the same host.
• linux / server: Monitor OpenProject logs for unusual SMTP test requests with unexpected host and port combinations. Use journalctl -u openproject to filter for relevant log entries.
journalctl -u openproject | grep '/admin/settings/mail_notifications' | grep -v '127.0.0.1'• generic web: Use curl to test the SMTP test endpoint with various internal IP addresses and ports to identify potential SSRF behavior.
curl -v --connect-timeout 1 http://<openproject_ip>/admin/settings/mail_notifications -d '[email protected]&smtp_host=192.168.1.100&smtp_port=8080'disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-31974 es actualizar OpenProject a la versión 17.2.0 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda restringir el acceso al endpoint de prueba SMTP a usuarios autorizados. Implementar reglas en un firewall de aplicaciones web (WAF) o proxy para bloquear solicitudes con hosts y puertos sospechosos puede ayudar a reducir el riesgo. Monitorear los registros de OpenProject en busca de solicitudes SMTP inusuales o a direcciones IP internas puede proporcionar una capa adicional de detección. Después de la actualización, verificar la configuración del servidor de correo para asegurar que solo se permitan conexiones a servidores de correo autorizados.
Actualice OpenProject a la versión 17.2.0 o superior. Esta versión corrige la vulnerabilidad SSRF en los webhooks y el endpoint de prueba SMTP.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-31974 is a Server-Side Request Forgery (SSRF) vulnerability in OpenProject versions prior to 17.2.0, allowing attackers to map internal hosts.
You are affected if you are running OpenProject versions 17.2.0 or earlier. Upgrade to 17.2.0 to resolve the vulnerability.
Upgrade OpenProject to version 17.2.0 or later. Consider implementing a WAF rule to block suspicious requests as a temporary workaround.
Currently, there are no known public exploits or confirmed active exploitation campaigns for CVE-2026-31974.
Refer to the OpenProject security advisory for detailed information and updates: [https://www.openproject.org/security/advisories/](https://www.openproject.org/security/advisories/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.