Plataforma
ruby
Componente
openproject
Corregido en
16.6.10
17.0.1
17.1.1
17.2.1
CVE-2026-32698 describe una vulnerabilidad de inyección SQL presente en OpenProject, un software de gestión de proyectos web de código abierto. Esta falla permite a un atacante ejecutar comandos SQL arbitrarios durante la generación de un informe de costos, explotando la falta de sanitización en el nombre de un campo personalizado. Las versiones afectadas son aquellas anteriores a 16.6.9, 17.0.6, 17.1.3 y 17.2.1; la solución recomendada es actualizar a la versión 16.6.9 o superior.
La inyección SQL en OpenProject permite a un atacante con privilegios de administrador completo ejecutar comandos SQL arbitrarios en la base de datos. Esto puede resultar en la exfiltración de datos sensibles, la modificación de información crítica del proyecto, o incluso la toma de control completa del sistema. La vulnerabilidad se manifiesta al utilizar un campo personalizado en un informe de costos, donde el nombre del campo se inyecta directamente en la consulta SQL sin la debida validación. En combinación con otra vulnerabilidad en el módulo Repositories, el impacto potencial se amplía, permitiendo un mayor control sobre el sistema y sus datos. La severidad CRÍTICA indica un riesgo significativo de compromiso del sistema.
CVE-2026-32698 fue publicado el 18 de marzo de 2026. No se ha reportado explotación activa en entornos reales a la fecha. La vulnerabilidad requiere privilegios de administrador para crear campos personalizados, lo que limita su alcance. La presencia de otra vulnerabilidad en el módulo Repositories podría facilitar la explotación, aunque no es un requisito. El EPSS score es aún desconocido, pero dada la severidad CRÍTICA y la necesidad de privilegios elevados, se espera que sea de probabilidad media o alta.
Organizations using OpenProject for project management, particularly those with custom fields and Cost Reports enabled, are at risk. Environments with limited access controls or where administrator privileges are broadly granted are especially vulnerable. Shared hosting environments running OpenProject should be carefully assessed.
• linux / server:
journalctl -u openproject -g "SQL injection"• generic web:
curl -I 'https://<openproject_url>/cost_reports?custom_field_name=<sqli_payload>' | grep 'SQL injection'disclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-32698 es actualizar OpenProject a la versión 16.6.9 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda restringir el acceso a la funcionalidad de informes de costos a usuarios con privilegios mínimos. Como medida complementaria, se puede implementar un Web Application Firewall (WAF) para filtrar tráfico malicioso y bloquear intentos de inyección SQL. Monitorear los registros de la base de datos en busca de patrones sospechosos, como consultas SQL inusuales o errores relacionados con la inyección, también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme la mitigación revisando los registros de auditoría y ejecutando pruebas de penetración.
Actualice OpenProject a la versión 16.6.9, 17.0.6, 17.1.3 o 17.2.1, o a una versión posterior. Estas versiones corrigen la vulnerabilidad de inyección SQL en el nombre de un campo personalizado y la vulnerabilidad relacionada en el módulo de Repositorios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32698 is a critical SQL injection vulnerability in OpenProject versions prior to 16.6.9, 17.0.6, 17.1.3, and 17.2.1, allowing attackers to execute SQL commands via custom field names in Cost Reports.
You are affected if you are running OpenProject versions ≤ 17.2.0 and < 17.2.1. Check your OpenProject version and upgrade immediately if vulnerable.
Upgrade OpenProject to version 16.6.9 or later. Restrict access to Cost Report generation and implement input validation as temporary mitigations.
While no active exploitation has been confirmed, the vulnerability's severity and SQL injection nature make it a likely target for attackers.
Refer to the OpenProject security advisories page for the latest information and updates regarding CVE-2026-32698: [https://www.openproject.org/security-advisories/](https://www.openproject.org/security-advisories/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Gemfile.lock y te decimos al instante si estás afectado.