Plataforma
other
Componente
openproject
Corrigido em
17.2.1
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi descoberta no OpenProject, um software de gerenciamento de projetos web de código aberto. A falha, presente em versões anteriores à 17.2.0, permite que um atacante com acesso mapeie hosts internos e identifique serviços e portas acessíveis, explorando o endpoint de teste SMTP e a funcionalidade de webhooks. A atualização para a versão 17.2.0 corrige essa vulnerabilidade.
A vulnerabilidade SSRF no OpenProject permite que um atacante realize o mapeamento de rede interno. Ao explorar o endpoint de teste SMTP, o atacante pode enviar solicitações para hosts e portas arbitrárias, observando as diferenças no tempo de resposta e nos erros para determinar se um host está ativo e se uma porta está aberta. Da mesma forma, webhooks configurados com IPs arbitrários podem ser utilizados para o mesmo propósito. Isso pode levar à descoberta de serviços internos não expostos externamente, facilitando o planejamento de ataques subsequentes. O potencial de dano é limitado à rede interna do OpenProject, mas a identificação de serviços vulneráveis pode ampliar o escopo do ataque.
O CVE-2026-31974 foi publicado em 2026-03-11. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos KEV como o CISA KEV. Não foram identificados Proof of Concepts (PoCs) públicos. A severidade é classificada como baixa (CVSS 3.0: 3).
Organizations using OpenProject for project management, particularly those with internal services accessible from the web server, are at risk. Shared hosting environments where multiple OpenProject instances share the same server are also potentially vulnerable, as an attacker could exploit the SSRF to gain access to other services running on the same host.
• linux / server: Monitor OpenProject logs for unusual SMTP test requests with unexpected host and port combinations. Use journalctl -u openproject to filter for relevant log entries.
journalctl -u openproject | grep '/admin/settings/mail_notifications' | grep -v '127.0.0.1'• generic web: Use curl to test the SMTP test endpoint with various internal IP addresses and ports to identify potential SSRF behavior.
curl -v --connect-timeout 1 http://<openproject_ip>/admin/settings/mail_notifications -d '[email protected]&smtp_host=192.168.1.100&smtp_port=8080'disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização para a versão 17.2.0 do OpenProject, que corrige a vulnerabilidade. Em ambientes onde a atualização imediata não é possível, a implementação de firewalls e regras de validação de entrada pode ajudar a restringir o acesso ao endpoint de teste SMTP e aos webhooks. Configure o firewall para bloquear o tráfego de saída para destinos não confiáveis. Além disso, valide rigorosamente os hosts e portas especificados nos testes SMTP e webhooks, permitindo apenas destinos aprovados. Monitore os logs do OpenProject em busca de solicitações suspeitas de saída.
Atualize OpenProject para a versão 17.2.0 ou superior. Esta versão corrige a vulnerabilidade SSRF em webhooks e no endpoint de teste SMTP.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-31974 is a Server-Side Request Forgery (SSRF) vulnerability in OpenProject versions prior to 17.2.0, allowing attackers to map internal hosts.
You are affected if you are running OpenProject versions 17.2.0 or earlier. Upgrade to 17.2.0 to resolve the vulnerability.
Upgrade OpenProject to version 17.2.0 or later. Consider implementing a WAF rule to block suspicious requests as a temporary workaround.
Currently, there are no known public exploits or confirmed active exploitation campaigns for CVE-2026-31974.
Refer to the OpenProject security advisory for detailed information and updates: [https://www.openproject.org/security/advisories/](https://www.openproject.org/security/advisories/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.