プラットフォーム
other
コンポーネント
openproject
修正版
16.6.10
17.0.1
17.1.1
17.2.1
OpenProjectは、オープンソースのWebベースプロジェクト管理ソフトウェアです。CVE-2026-32703は、リポジトリモジュールにおけるファイル名エスケープ処理の不備に起因するクロスサイトスクリプティング(XSS)脆弱性です。攻撃者は、リポジトリへのpushアクセス権を利用して、悪意のあるHTMLコードを含むファイル名をコミットし、Repositoriesページにアクセスするプロジェクトメンバーに対してXSS攻撃を実行できます。影響を受けるバージョンは17.2.0以前、および17.2.1未満です。修正バージョンは16.6.9、17.0.6、17.1.3、17.2.1です。
この脆弱性を悪用されると、攻撃者はRepositoriesページにアクセスするOpenProjectのプロジェクトメンバーのブラウザ上で任意のJavaScriptコードを実行できます。これにより、攻撃者はセッションCookieを盗み出し、ユーザーになりすまして機密情報にアクセスしたり、悪意のある操作を実行したりすることが可能になります。また、攻撃者はWebサイトの見た目を改ざんしたり、ユーザーを悪意のあるWebサイトにリダイレクトしたりすることもできます。この脆弱性は、プロジェクトの機密情報漏洩、不正な操作実行、およびWebサイトの信頼性低下につながる可能性があります。類似のXSS脆弱性は、Webアプリケーションにおいて頻繁に発生するセキュリティリスクであり、適切な入力検証と出力エスケープ処理の欠如が原因となることが多いです。
この脆弱性は、2026年3月18日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性であるため、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。OpenProjectのセキュリティチームは、この脆弱性に関する情報を公開しており、ユーザーにアップデートを推奨しています。
Organizations using OpenProject for project management, particularly those with multiple users and shared repositories, are at risk. Teams relying on OpenProject for sensitive project data are especially vulnerable, as the XSS attack could lead to data theft or unauthorized access. Users with push access to repositories represent the most immediate threat.
• linux / server: Monitor OpenProject logs for unusual activity related to repository commits. Use journalctl -f to observe repository access patterns and look for suspicious filenames.
journalctl -f | grep 'repository commit' | grep -i 'html'• generic web: Examine OpenProject access and error logs for requests containing suspicious HTML code in filenames. Use curl to test repository endpoints with crafted filenames and observe the response for signs of XSS.
curl 'https://openproject.example.com/repositories/your_repo/commits?filename=<script>alert("XSS")</script>' -sdisclosure
エクスプロイト状況
EPSS
0.03% (10% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、OpenProjectをバージョン16.6.9、17.0.6、17.1.3、または17.2.1にアップデートすることを推奨します。アップデートが困難な場合は、リポジトリモジュールへのアクセスを制限し、信頼できないユーザーからのpushアクセスを禁止することでリスクを軽減できます。また、Webアプリケーションファイアウォール(WAF)を導入し、XSS攻撃を検知・防御するルールを設定することも有効です。さらに、Repositoriesページの入力フィールドに対する厳格な入力検証を実施し、HTMLコードの注入を防止する対策を講じることが重要です。アップデート後、Repositoriesページにアクセスし、ファイル名に特殊文字が含まれていても正しく表示されることを確認してください。
OpenProject をバージョン 16.6.9、17.0.6、17.1.3、または 17.2.1、またはそれ以降のバージョンにアップデートしてください。これにより、リポジトリから表示されるファイル名を適切にエスケープすることで、永続的な Cross-Site Scripting (XSS) の脆弱性が修正されます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-32703は、OpenProjectの17.2.0以前、17.2.1未満のバージョンに影響するクロスサイトスクリプティング(XSS)脆弱性です。リポジトリへのpushアクセス権を持つ攻撃者が悪意のあるHTMLコードを含むファイル名をコミットすることで、XSS攻撃を実行できます。
OpenProjectのバージョンが17.2.0以前、または17.2.1未満の場合は、影響を受けます。バージョン16.6.9、17.0.6、17.1.3、17.2.1にアップデートすることで修正できます。
OpenProjectをバージョン16.6.9、17.0.6、17.1.3、または17.2.1にアップデートしてください。アップデートが困難な場合は、リポジトリモジュールへのアクセスを制限し、WAFを導入するなどの対策を講じてください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性であるため、悪用される可能性は否定できません。
OpenProjectのセキュリティチームが公開している情報を確認してください。OpenProjectの公式ウェブサイトまたはセキュリティブログを参照してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。