OpenProject की रिपॉजिटरी फ़ाइलें MIME प्रकार के साथ परोसी जाती हैं जो उन्हें कंटेंट सिक्योरिटी पॉलिसी को बायपास करने की अनुमति देती हैं

यह भेद्यता हमलावरों को OpenProject रिपॉजिटरी पृष्ठ पर प्रदर्शित होने वाले फ़ाइल नामों में दुर्भावनापूर्ण HTML कोड इंजेक्ट करने की अनुमति देती है। एक हमलावर जो रिपॉजिटरी में पुश एक्सेस रखता है, वह ऐसे कमिट बना सकता है जिनमें HTML कोड युक्त फ़ाइल नाम शामिल हैं। जब कोई प्रोजेक्ट सदस्य रिपॉजिटरी पृष्ठ पर इस बदलाव को देखता है, तो दुर्भावनापूर्ण स्क्रिप्ट निष्पादित हो जाएगी, जिससे हमलावर को उपयोगकर्ता के ब्राउज़र के संदर्भ में कोड चलाने की अनुमति मिल जाएगी। यह हमलावर को संवेदनशील जानकारी चुराने, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने या उपयोगकर्ता के खाते पर नियंत्रण करने की अनुमति दे सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह सभी प्रोजेक्ट सदस्यों को प्रभावित करती है जो रिपॉजिटरी पृष्ठ तक पहुंचते हैं।

Organizations using OpenProject for project management, particularly those with multiple users and shared repositories, are at risk. Teams relying on OpenProject for sensitive project data are especially vulnerable, as the XSS attack could lead to data theft or unauthorized access. Users with push access to repositories represent the most immediate threat.

• linux / server: Monitor OpenProject logs for unusual activity related to repository commits. Use journalctl -f to observe repository access patterns and look for suspicious filenames.

journalctl -f | grep 'repository commit' | grep -i 'html'

• generic web: Examine OpenProject access and error logs for requests containing suspicious HTML code in filenames. Use curl to test repository endpoints with crafted filenames and observe the response for signs of XSS.

curl 'https://openproject.example.com/repositories/your_repo/commits?filename=<script>alert("XSS")</script>' -s

1. 2026-03-18Disclosure

   disclosure

1. आरक्षित2026-03-13
2. प्रकाशित2026-03-18
3. संशोधित2026-03-19
4. EPSS अद्यतन2026-03-26

CVE-2026-32703 के प्रभाव को कम करने के लिए, OpenProject को संस्करण 17.2.1 या बाद के संस्करण में तुरंत अपडेट करना आवश्यक है। यदि अपग्रेड करने में समस्या आ रही है, तो एक अस्थायी समाधान के रूप में, रिपॉजिटरी पृष्ठ पर फ़ाइल नामों के प्रदर्शन को अक्षम करने पर विचार करें। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को ब्लॉक किया जा सकता है। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें दुर्भावनापूर्ण HTML कोड युक्त फ़ाइल नाम शामिल हैं। अंत में, यह सुनिश्चित करना महत्वपूर्ण है कि सभी प्रोजेक्ट सदस्य XSS हमलों के बारे में जागरूक हैं और संदिग्ध लिंक पर क्लिक करने से बचें। अपग्रेड के बाद, यह सत्यापित करें कि रिपॉजिटरी पृष्ठ पर फ़ाइल नाम सही ढंग से प्रदर्शित हो रहे हैं और कोई दुर्भावनापूर्ण स्क्रिप्ट निष्पादित नहीं हो रही है।