OpenProject: कॉस्ट रिपोर्टिंग में SQL इंजेक्शन (=n ऑपरेटर parse_number_string के माध्यम से)

OpenProject एक ओपन-सोर्स, वेब-आधारित प्रोजेक्ट मैनेजमेंट सॉफ्टवेयर है। वर्जन 17.2.3 से पहले, modules/reporting/lib/report/operator.rb:177 में =n ऑपरेटर पैरामीटराइजेशन के बिना सीधे SQL WHERE क्लॉज में यूजर इनपुट एम्बेड करता है। इस समस्या को वर्जन 17.2.3 में ठीक कर दिया गया है।