Plateforme
other
Composant
openproject
Corrigé dans
16.6.10
17.0.1
17.1.1
17.2.1
La vulnérabilité CVE-2026-32703 est une faille de type Cross-Site Scripting (XSS) affectant OpenProject, un logiciel de gestion de projet web open-source. Cette faille permet à un attaquant disposant d'un accès push dans le dépôt d'injecter du code HTML malveillant dans les noms de fichiers affichés, menant à une attaque XSS persistante contre les membres du projet. Les versions concernées sont celles antérieures à 16.6.9, 17.0.6, 17.1.3 et 17.2.1. Une correction est disponible dans la version 17.2.1.
Cette vulnérabilité XSS persistante est particulièrement préoccupante car elle permet à un attaquant d'injecter du code JavaScript malveillant qui sera exécuté dans le navigateur de tous les utilisateurs accédant à la page des dépôts. L'attaquant peut ainsi voler des informations sensibles, modifier le contenu de la page, ou même rediriger les utilisateurs vers des sites malveillants. Le vecteur d'attaque est l'injection de code HTML dans les noms de fichiers des commits. Une fois le code injecté, il est stocké et servi à chaque utilisateur accédant à la page des dépôts, ce qui rend l'attaque persistante. Cette faille exploite une absence d'échappement correct des noms de fichiers, permettant l'injection de code malveillant. Bien que l'accès push soit requis, il s'agit d'un niveau d'accès relativement courant dans les environnements de développement.
Cette vulnérabilité a été divulguée publiquement le 18 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. Un Proof of Concept (PoC) public pourrait être développé, augmentant le risque d'exploitation. La CVSS score de 9.1 indique une criticité élevée.
Organizations using OpenProject for project management, particularly those with multiple users and shared repositories, are at risk. Teams relying on OpenProject for sensitive project data are especially vulnerable, as the XSS attack could lead to data theft or unauthorized access. Users with push access to repositories represent the most immediate threat.
• linux / server: Monitor OpenProject logs for unusual activity related to repository commits. Use journalctl -f to observe repository access patterns and look for suspicious filenames.
journalctl -f | grep 'repository commit' | grep -i 'html'• generic web: Examine OpenProject access and error logs for requests containing suspicious HTML code in filenames. Use curl to test repository endpoints with crafted filenames and observe the response for signs of XSS.
curl 'https://openproject.example.com/repositories/your_repo/commits?filename=<script>alert("XSS")</script>' -sdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OpenProject vers la version 17.2.1 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès push aux dépôts aux utilisateurs de confiance. En attendant la mise à jour, une solution de contournement pourrait consister à configurer un Web Application Firewall (WAF) pour bloquer les requêtes contenant des caractères suspects dans les noms de fichiers. Il est également possible de surveiller les journaux d'accès pour détecter des tentatives d'injection de code HTML dans les noms de fichiers. Après la mise à jour, vérifiez que les noms de fichiers affichés dans la page des dépôts sont correctement échappés et ne contiennent pas de code HTML non désiré.
Mettez à jour OpenProject à la version 16.6.9, 17.0.6, 17.1.3 ou 17.2.1, ou à une version ultérieure. Cela corrige la vulnérabilité de Cross-Site Scripting (XSS) persistente en échappant correctement les noms de fichier affichés à partir des dépôts.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32703 is a critical Cross-Site Scripting (XSS) vulnerability in OpenProject versions prior to 16.6.9, 17.0.6, 17.1.3, and 17.2.1, allowing attackers to inject malicious code via repository filenames.
You are affected if you are using OpenProject versions ≤ 17.2.0 and < 17.2.1. Upgrade to 17.2.1 or later to mitigate the risk.
Upgrade OpenProject to version 17.2.1 or later. Restrict push access to repositories if immediate upgrading is not possible.
No active exploitation campaigns have been publicly reported, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the OpenProject security advisory for detailed information and updates: [https://www.openproject.org/security-advisories/](https://www.openproject.org/security-advisories/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.