Plateforme
ruby
Composant
openproject
Corrigé dans
16.6.10
17.0.1
17.1.1
17.2.1
Une vulnérabilité de type SQL Injection a été découverte dans OpenProject, un logiciel de gestion de projet web open-source. Les versions antérieures à 16.6.9, 17.0.6, 17.1.3 et 17.2.1 sont concernées. Cette faille permet à un attaquant d'exécuter des commandes SQL arbitraires lors de la génération d'un rapport de coûts, en exploitant un champ personnalisé mal configuré. La correction est disponible à partir de la version 16.6.9.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'injecter du code SQL malveillant dans les requêtes de base de données d'OpenProject. En particulier, l'injection se produit lors de la génération de rapports de coûts utilisant des champs personnalisés. Un attaquant pourrait potentiellement accéder à des données sensibles stockées dans la base de données, telles que des informations sur les projets, les utilisateurs, les tâches et les coûts. Il pourrait également modifier ou supprimer des données, compromettant l'intégrité du système. Bien que la création de champs personnalisés nécessite des privilèges d'administrateur complets, la combinaison avec d'autres vulnérabilités, comme mentionné dans la description, pourrait élargir le champ d'attaque. Cette vulnérabilité présente un risque élevé en raison de sa criticité et de la possibilité d'une exécution de code arbitraire.
Cette vulnérabilité a été rendue publique le 2026-03-18. Il n'y a pas d'indication d'exploitation active à ce jour, mais la nature critique de la vulnérabilité et la disponibilité d'une correction suggèrent qu'elle pourrait être ciblée par des attaquants. La description mentionne une autre vulnérabilité dans le module Repositories, ce qui pourrait potentiellement être combiné avec cette injection SQL pour augmenter l'impact. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA.
Organizations using OpenProject for project management, particularly those with custom fields and Cost Reports enabled, are at risk. Environments with limited access controls or where administrator privileges are broadly granted are especially vulnerable. Shared hosting environments running OpenProject should be carefully assessed.
• linux / server:
journalctl -u openproject -g "SQL injection"• generic web:
curl -I 'https://<openproject_url>/cost_reports?custom_field_name=<sqli_payload>' | grep 'SQL injection'disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mesure de mitigation principale consiste à mettre à jour OpenProject vers une version corrigée, à savoir la version 16.6.9 ou ultérieure. Si la mise à niveau n'est pas immédiatement possible, une solution de contournement temporaire consiste à désactiver l'utilisation de champs personnalisés dans les rapports de coûts. Il est également recommandé de limiter les privilèges d'administrateur aux seuls utilisateurs qui en ont réellement besoin. Envisagez d'utiliser un pare-feu d'application web (WAF) pour filtrer les requêtes suspectes et bloquer les tentatives d'injection SQL. Surveillez attentivement les journaux d'OpenProject pour détecter toute activité suspecte, en particulier les requêtes SQL inhabituelles. Après la mise à jour, vérifiez l'intégrité de la base de données et assurez-vous que les rapports de coûts fonctionnent correctement sans injection SQL.
Mettez à jour OpenProject à la version 16.6.9, 17.0.6, 17.1.3 ou 17.2.1, ou à une version ultérieure. Ces versions corrigent la vulnérabilité d'injection SQL dans le nom d'un champ personnalisé et la vulnérabilité connexe dans le module de Repositorios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32698 is a critical SQL injection vulnerability in OpenProject versions prior to 16.6.9, 17.0.6, 17.1.3, and 17.2.1, allowing attackers to execute SQL commands via custom field names in Cost Reports.
You are affected if you are running OpenProject versions ≤ 17.2.0 and < 17.2.1. Check your OpenProject version and upgrade immediately if vulnerable.
Upgrade OpenProject to version 16.6.9 or later. Restrict access to Cost Report generation and implement input validation as temporary mitigations.
While no active exploitation has been confirmed, the vulnerability's severity and SQL injection nature make it a likely target for attackers.
Refer to the OpenProject security advisories page for the latest information and updates regarding CVE-2026-32698: [https://www.openproject.org/security-advisories/](https://www.openproject.org/security-advisories/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.