Platform
ruby
Component
openproject
Opgelost in
16.6.10
17.0.1
17.1.1
17.2.1
CVE-2026-32698 beschrijft een SQL Injection kwetsbaarheid in OpenProject, een open-source projectmanagement software. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige SQL commando's uit te voeren via een ongezuiverde custom field naam in een Cost Report. De kwetsbaarheid treedt op in versies van OpenProject die kleiner of gelijk zijn aan 17.2.0 en kleiner dan 17.2.1. Een fix is beschikbaar in versie 16.6.9.
Een succesvolle exploitatie van CVE-2026-32698 kan leiden tot ernstige gevolgen. Een aanvaller kan toegang krijgen tot gevoelige data, zoals projectinformatie, gebruikersgegevens en financiële records. Door SQL injectie kunnen ze data wijzigen, verwijderen of stelen. In combinatie met een andere bug in de Repositories_module kan de impact verder toenemen, mogelijk resulterend in volledige controle over de OpenProject installatie. De kwetsbaarheid vereist wel administrator privileges om een custom field te genereren, wat de aanvalsoppervlakte enigszins beperkt, maar blijft een significant risico.
Op dit moment is er geen publieke exploitatie van CVE-2026-32698 bekend. De kwetsbaarheid is openbaar gemaakt op 2026-03-18. De CVSS score is 9.1 (CRITICAL), wat duidt op een hoog risico. Het is aan te raden om deze kwetsbaarheid serieus te nemen en onmiddellijk te mitigeren.
Organizations using OpenProject for project management, particularly those with custom fields and Cost Reports enabled, are at risk. Environments with limited access controls or where administrator privileges are broadly granted are especially vulnerable. Shared hosting environments running OpenProject should be carefully assessed.
• linux / server:
journalctl -u openproject -g "SQL injection"• generic web:
curl -I 'https://<openproject_url>/cost_reports?custom_field_name=<sqli_payload>' | grep 'SQL injection'disclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-32698 is het upgraden naar OpenProject versie 16.6.9 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van Cost Reports die custom fields gebruiken. Implementeer input validatie en sanitatie op alle gebruikersinvoer die gebruikt wordt in SQL queries. Controleer de configuratie van de Repositories_module om te verzekeren dat deze correct is geconfigureerd en geen verdere kwetsbaarheden introduceert. Na de upgrade, verifieer de fix door een Cost Report te genereren met een custom field en controleer of er geen SQL fouten optreden.
Werk OpenProject bij naar versie 16.6.9, 17.0.6, 17.1.3 of 17.2.1, of een latere versie. Deze versies corrigeren de SQL injection kwetsbaarheid in de naam van een aangepast veld en de gerelateerde kwetsbaarheid in de Repositories module.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32698 is a critical SQL injection vulnerability in OpenProject versions prior to 16.6.9, 17.0.6, 17.1.3, and 17.2.1, allowing attackers to execute SQL commands via custom field names in Cost Reports.
You are affected if you are running OpenProject versions ≤ 17.2.0 and < 17.2.1. Check your OpenProject version and upgrade immediately if vulnerable.
Upgrade OpenProject to version 16.6.9 or later. Restrict access to Cost Report generation and implement input validation as temporary mitigations.
While no active exploitation has been confirmed, the vulnerability's severity and SQL injection nature make it a likely target for attackers.
Refer to the OpenProject security advisories page for the latest information and updates regarding CVE-2026-32698: [https://www.openproject.org/security-advisories/](https://www.openproject.org/security-advisories/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Gemfile.lock-bestand en we vertellen je direct of je getroffen bent.