Platform
other
Component
openproject
Opgelost in
16.6.10
17.0.1
17.1.1
17.2.1
CVE-2026-32703 beschrijft een persistente Cross-Site Scripting (XSS) kwetsbaarheid in de Repositories module van OpenProject. Deze kwetsbaarheid stelt een aanvaller met push-toegang tot een repository in staat om schadelijke HTML-code in te voegen via bestandsnamen. Dit kan leiden tot een XSS-aanval die alle projectleden treft die de repositories pagina bezoeken. De kwetsbaarheid treft OpenProject versies ≤17.2.0 en <17.2.1. Een fix is beschikbaar in versies 16.6.9, 17.0.6, 17.1.3 en 17.2.1.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om willekeurige JavaScript-code uit te voeren in de browser van een slachtoffer. Dit kan worden gebruikt om gevoelige informatie te stelen, zoals authenticatiecookies, of om de gebruiker om te leiden naar kwaadaardige websites. De schadelijke code wordt geïnjecteerd via bestandsnamen in de repositories, waardoor de aanval persistent is en herhaaldelijk slachtoffers kan treffen. De impact is aanzienlijk, aangezien alle projectleden die de repositories pagina bezoeken, potentieel kwetsbaar zijn. Dit is vergelijkbaar met XSS-aanvallen die in andere webapplicaties zijn waargenomen, waarbij de aanvaller controle kan krijgen over de gebruikerssessie.
Deze kwetsbaarheid is openbaar bekend gemaakt en de details zijn beschikbaar. Er is momenteel geen informatie over actieve exploits in de wildernis, maar de lage complexiteit van de exploitatie maakt het waarschijnlijk dat dit in de toekomst zal gebeuren. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). Er zijn publieke Proof-of-Concept (POC) beschikbaar, wat de exploitatie verder vergemakkelijkt.
Organizations using OpenProject for project management, particularly those with multiple users and shared repositories, are at risk. Teams relying on OpenProject for sensitive project data are especially vulnerable, as the XSS attack could lead to data theft or unauthorized access. Users with push access to repositories represent the most immediate threat.
• linux / server: Monitor OpenProject logs for unusual activity related to repository commits. Use journalctl -f to observe repository access patterns and look for suspicious filenames.
journalctl -f | grep 'repository commit' | grep -i 'html'• generic web: Examine OpenProject access and error logs for requests containing suspicious HTML code in filenames. Use curl to test repository endpoints with crafted filenames and observe the response for signs of XSS.
curl 'https://openproject.example.com/repositories/your_repo/commits?filename=<script>alert("XSS")</script>' -sdisclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar een beveiligde versie van OpenProject: 16.6.9, 17.0.6, 17.1.3 of 17.2.1. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de push-toegang tot repositories tot vertrouwde gebruikers. Het implementeren van een Web Application Firewall (WAF) met regels om HTML-injectie in bestandsnamen te detecteren en te blokkeren, kan ook helpen. Controleer de OpenProject-configuratie op onnodige permissies en beperk de toegang tot repositories. Na de upgrade, controleer de repositories pagina om te bevestigen dat bestandsnamen correct worden weergegeven en geen schadelijke code bevatten.
Werk OpenProject bij naar versie 16.6.9, 17.0.6, 17.1.3 of 17.2.1, of een latere versie. Dit corrigeert de persistente Cross-Site Scripting (XSS) kwetsbaarheid door bestandsnamen die uit repositories worden weergegeven correct te escapen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32703 is a critical Cross-Site Scripting (XSS) vulnerability in OpenProject versions prior to 16.6.9, 17.0.6, 17.1.3, and 17.2.1, allowing attackers to inject malicious code via repository filenames.
You are affected if you are using OpenProject versions ≤ 17.2.0 and < 17.2.1. Upgrade to 17.2.1 or later to mitigate the risk.
Upgrade OpenProject to version 17.2.1 or later. Restrict push access to repositories if immediate upgrading is not possible.
No active exploitation campaigns have been publicly reported, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the OpenProject security advisory for detailed information and updates: [https://www.openproject.org/security-advisories/](https://www.openproject.org/security-advisories/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.