CRITICALCVE-2026-32698CVSS 9.1

OpenProject には、カスタムフィールド名経由の SQL Injection が存在し、Remote Code Execution にチェーンされる可能性があります

Q: CVE-2026-32698 — SQL Injection in OpenProjectとは何ですか？

CVE-2026-32698は、OpenProjectのバージョン17.2.0以前、および17.2.1未満に影響するSQLインジェクション脆弱性です。カスタムフィールド名がSQLクエリに適切にサニタイズされずに注入され、コストレポート生成時に悪意のあるSQLコマンドを実行される可能性があります。

Q: CVE-2026-32698 in OpenProjectの影響はありますか？

OpenProjectのバージョンが17.2.0以前、および17.2.1未満の場合は、影響を受けます。この脆弱性を悪用されると、機密情報の漏洩やデータの改ざんにつながる可能性があります。

Q: CVE-2026-32698 in OpenProjectを修正するにはどうすればよいですか？

OpenProjectのバージョンを16.6.9、17.0.6、17.1.3、または17.2.1以降にアップデートしてください。

Q: CVE-2026-32698に関するOpenProjectの公式アドバイザリはどこで入手できますか？

OpenProjectの公式アドバイザリは、OpenProjectのセキュリティアドバイザリページで確認できます。

プラットフォーム

ruby

コンポーネント

openproject

修正版

16.6.10

17.0.1

17.1.1

17.2.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-32698は、OpenProjectプロジェクト管理ソフトウェアにおけるSQLインジェクション脆弱性です。この脆弱性は、カスタムフィールド名がコストレポートのSQLクエリに適切にサニタイズされずに注入されることで発生します。影響を受けるバージョンは17.2.0以前、および17.2.1未満です。この脆弱性は、攻撃者が悪意のあるSQLコマンドを実行することを可能にし、機密情報の漏洩やデータの改ざんにつながる可能性があります。バージョン16.6.9以降にアップデートすることで修正されています。

影響と攻撃シナリオ

このSQLインジェクション脆弱性を悪用すると、攻撃者はOpenProjectデータベースに対して任意のSQLクエリを実行できます。これにより、機密情報（プロジェクトデータ、ユーザー認証情報など）が漏洩したり、データベースの内容が改ざんされたりする可能性があります。さらに、攻撃者はデータベースサーバー上でコマンドを実行したり、他のシステムへのアクセス権を取得したりする可能性があります。Repositories_moduleの別のバグと組み合わせることで、攻撃の影響範囲が拡大する可能性があります。この脆弱性は、特に管理者権限を持つユーザーがカスタムフィールドを生成している場合にリスクが高まります。

悪用の状況

この脆弱性は2026年3月18日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SQLインジェクションは一般的な攻撃手法であり、悪用される可能性は否定できません。CISAのKEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations using OpenProject for project management, particularly those with custom fields and Cost Reports enabled, are at risk. Environments with limited access controls or where administrator privileges are broadly granted are especially vulnerable. Shared hosting environments running OpenProject should be carefully assessed.

検出手順翻訳中…

• linux / server:

journalctl -u openproject -g "SQL injection"

• generic web:

curl -I 'https://<openproject_url>/cost_reports?custom_field_name=<sqli_payload>' | grep 'SQL injection'

攻撃タイムライン

2026-03-18Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (10% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントopenproject

ベンダーopf

影響範囲修正版

< 16.6.9 – < 16.6.916.6.10

>= 17.0.0, < 17.0.6 – >= 17.0.0, < 17.0.617.0.1

>= 17.1.0, < 17.1.3 – >= 17.1.0, < 17.1.317.1.1

>= 17.2.0, < 17.2.1 – >= 17.2.0, < 17.2.117.2.1

弱点分類 (CWE)

CWE-89

タイムライン

予約済み2026-03-13
公開日2026-03-18
更新日2026-03-19
EPSS 更新日2026-03-26

緩和策と回避策

OpenProjectのバージョンを16.6.9、17.0.6、17.1.3、または17.2.1以降にアップデートすることが最も効果的な対策です。アップデートできない場合は、カスタムフィールドの使用を一時的に停止するか、カスタムフィールド名に特殊文字が含まれないように制限することでリスクを軽減できます。Webアプリケーションファイアウォール（WAF）を導入し、SQLインジェクション攻撃を検知・防御するルールを設定することも有効です。また、データベースのアクセス制御を強化し、不要な権限を付与しないように注意してください。アップデート後、コストレポートを生成し、SQLクエリに異常がないことを確認してください。

修正方法

OpenProject をバージョン 16.6.9、17.0.6、17.1.3、または 17.2.1、またはそれ以降のバージョンにアップデートしてください。これらのバージョンは、カスタムフィールド名における SQL injection 脆弱性と、Repositories モジュールにおける関連する脆弱性を修正しています。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-32698 — SQL Injection in OpenProjectとは何ですか？