UNKNOWNCVE-2026-34717

OpenProject: SQL-injectie (SQL Injection) in kostenrapportage =n operator via parse_number_string

Platform

rails

Component

openproject

Opgelost in

17.2.3

OpenProject is open-source webgebaseerde projectmanagementsoftware. Voor versie 17.2.3 sluit de =n operator in modules/reporting/lib/report/operator.rb:177 gebruikersinvoer direct in SQL WHERE-clausules in zonder parametrisering. Dit probleem is verholpen in versie 17.2.3.

Hoe te verhelpen

Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.

Bewaak uw afhankelijkheden automatisch

Ontvang meldingen wanneer nieuwe kwetsbaarheden uw projecten beïnvloeden.

Gratis beginnen