प्लेटफ़ॉर्म
ruby
घटक
openproject
में ठीक किया गया
16.6.10
17.0.1
17.1.1
17.2.1
CVE-2026-32698 OpenProject में एक गंभीर SQL इंजेक्शन भेद्यता है। यह भेद्यता हमलावरों को कस्टम फ़ील्ड नाम के माध्यम से मनमाना SQL कमांड निष्पादित करने की अनुमति देती है, जिससे संभावित रूप से डेटा का समझौता हो सकता है। यह भेद्यता OpenProject के संस्करणों ≤>= 17.2.0 और < 17.2.1 को प्रभावित करती है। इस समस्या को OpenProject संस्करण 16.6.9 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को डेटाबेस से संवेदनशील जानकारी निकालने, डेटा को संशोधित करने या हटाने, और संभवतः सिस्टम पर नियंत्रण हासिल करने की अनुमति दे सकती है। चूंकि कस्टम फ़ील्ड केवल पूर्ण व्यवस्थापक विशेषाधिकार वाले उपयोगकर्ताओं द्वारा बनाए जा सकते हैं, इसलिए हमला करने की सतह कुछ हद तक कम हो जाती है, लेकिन फिर भी यह एक महत्वपूर्ण जोखिम है। इस भेद्यता का उपयोग करके, हमलावर लागत रिपोर्ट उत्पन्न करते समय SQL इंजेक्शन का फायदा उठा सकते हैं, जिससे डेटाबेस में अनधिकृत पहुंच हो सकती है। अन्य मॉड्यूल में मौजूद एक अन्य बग के साथ मिलकर, यह भेद्यता और भी अधिक गंभीर हो सकती है।
यह भेद्यता 2026-03-18 को सार्वजनिक रूप से प्रकट की गई थी। अभी तक इस भेद्यता के सक्रिय शोषण के कोई विश्वसनीय प्रमाण नहीं हैं, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण किया जा सकता है। इस भेद्यता को CISA KEV सूची में जोड़ा जाना बाकी है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं।
Organizations using OpenProject for project management, particularly those with custom fields and Cost Reports enabled, are at risk. Environments with limited access controls or where administrator privileges are broadly granted are especially vulnerable. Shared hosting environments running OpenProject should be carefully assessed.
• linux / server:
journalctl -u openproject -g "SQL injection"• generic web:
curl -I 'https://<openproject_url>/cost_reports?custom_field_name=<sqli_payload>' | grep 'SQL injection'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
OpenProject को संस्करण 16.6.9 या उच्चतर में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, कस्टम फ़ील्ड के नामों को इनपुट के रूप में उपयोग करने से पहले उन्हें ठीक से सैनिटाइज करें। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SQL इंजेक्शन हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग से कमजोरियों की पहचान करने और उन्हें कम करने में मदद मिल सकती है।
OpenProject को संस्करण 16.6.9, 17.0.6, 17.1.3 या 17.2.1 में अपडेट करें, या बाद के संस्करण में। ये संस्करण कस्टम फ़ील्ड नाम में SQL इंजेक्शन (SQL injection) भेद्यता और रिपॉजिटरीज (Repositories) मॉड्यूल में संबंधित भेद्यता को ठीक करते हैं।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-32698 OpenProject में एक भेद्यता है जो हमलावरों को कस्टम फ़ील्ड नाम के माध्यम से SQL कमांड निष्पादित करने की अनुमति देती है, जिससे डेटा का समझौता हो सकता है।
यदि आप OpenProject के संस्करण ≤>= 17.2.0 या < 17.2.1 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
OpenProject को संस्करण 16.6.9 या उच्चतर में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो कस्टम फ़ील्ड के नामों को इनपुट के रूप में उपयोग करने से पहले उन्हें ठीक से सैनिटाइज करें।
अभी तक इस भेद्यता के सक्रिय शोषण के कोई विश्वसनीय प्रमाण नहीं हैं, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण किया जा सकता है।
OpenProject सलाहकार के लिए, कृपया OpenProject सुरक्षा सलाहकार पृष्ठ देखें: [https://www.openproject.org/security-advisories/](https://www.openproject.org/security-advisories/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Gemfile.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।