Plataforma
other
Componente
openproject
Corregido en
16.6.10
17.0.1
17.1.1
17.2.1
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) persistente en OpenProject, una plataforma de gestión de proyectos web de código abierto. Esta vulnerabilidad, presente en versiones anteriores a 16.6.9, 17.0.6, 17.1.3 y 17.2.1, permite a un atacante con acceso de escritura a un repositorio inyectar código HTML malicioso a través de nombres de archivo. El impacto se manifiesta al mostrar cambios en el repositorio, afectando a todos los miembros del proyecto que accedan a la página.
Un atacante con privilegios de escritura en el repositorio puede explotar esta vulnerabilidad para inyectar código HTML malicioso en los nombres de archivo de los commits. Cuando otros usuarios del proyecto visualizan los cambios en el repositorio, el código inyectado se ejecuta en su navegador, permitiendo al atacante ejecutar scripts arbitrarios en el contexto del usuario. Esto podría resultar en el robo de cookies de sesión, redirecciones a sitios maliciosos, o la modificación de la interfaz de usuario de OpenProject para engañar a los usuarios. La severidad de esta vulnerabilidad es crítica debido a su potencial para afectar a todos los miembros del proyecto y comprometer la seguridad de la información sensible.
Esta vulnerabilidad fue publicada el 18 de marzo de 2026. No se ha reportado explotación activa en entornos reales, pero la naturaleza de XSS y la disponibilidad de herramientas para automatizar la inyección de código hacen que sea probable que sea explotada en el futuro. La vulnerabilidad se considera de alta probabilidad de explotación debido a su relativa facilidad de ejecución y el impacto potencial. Se recomienda monitorear activamente los repositorios de OpenProject en busca de actividad sospechosa.
Organizations using OpenProject for project management, particularly those with multiple users and shared repositories, are at risk. Teams relying on OpenProject for sensitive project data are especially vulnerable, as the XSS attack could lead to data theft or unauthorized access. Users with push access to repositories represent the most immediate threat.
• linux / server: Monitor OpenProject logs for unusual activity related to repository commits. Use journalctl -f to observe repository access patterns and look for suspicious filenames.
journalctl -f | grep 'repository commit' | grep -i 'html'• generic web: Examine OpenProject access and error logs for requests containing suspicious HTML code in filenames. Use curl to test repository endpoints with crafted filenames and observe the response for signs of XSS.
curl 'https://openproject.example.com/repositories/your_repo/commits?filename=<script>alert("XSS")</script>' -sdisclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar OpenProject a la versión 17.2.1 o superior, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso de escritura al repositorio solo a usuarios de confianza. Implementar una política de revisión de código rigurosa para los commits del repositorio puede ayudar a detectar y prevenir la inyección de código malicioso. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para filtrar solicitudes que contengan caracteres sospechosos en los nombres de archivo. La verificación se realiza confirmando que la versión instalada es 17.2.1 o superior tras la actualización.
Actualice OpenProject a la versión 16.6.9, 17.0.6, 17.1.3 o 17.2.1, o a una versión posterior. Esto corrige la vulnerabilidad de Cross-Site Scripting (XSS) persistente al escapar correctamente los nombres de archivo mostrados desde los repositorios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32703 is a critical Cross-Site Scripting (XSS) vulnerability in OpenProject versions prior to 16.6.9, 17.0.6, 17.1.3, and 17.2.1, allowing attackers to inject malicious code via repository filenames.
You are affected if you are using OpenProject versions ≤ 17.2.0 and < 17.2.1. Upgrade to 17.2.1 or later to mitigate the risk.
Upgrade OpenProject to version 17.2.1 or later. Restrict push access to repositories if immediate upgrading is not possible.
No active exploitation campaigns have been publicly reported, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the OpenProject security advisory for detailed information and updates: [https://www.openproject.org/security-advisories/](https://www.openproject.org/security-advisories/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.