UNKNOWNCVE-2026-34717
OpenProject: `parse_number_string`経由のコストレポート=n演算子におけるSQLインジェクション
プラットフォーム
rails
コンポーネント
openproject
修正バージョン
17.2.3
OpenProjectは、オープンソースのWebベースのプロジェクト管理ソフトウェアです。バージョン17.2.3より前のバージョンでは、modules/reporting/lib/report/operator.rb:177の=n演算子は、パラメータ化なしでユーザー入力をSQL WHERE句に直接埋め込みます。この問題は、バージョン17.2.3で修正されています。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。