Plataforma
ruby
Componente
openproject
Corrigido em
16.6.10
17.0.1
17.1.1
17.2.1
Uma vulnerabilidade de injeção de SQL (SQL Injection) foi descoberta no OpenProject, um software de gerenciamento de projetos web de código aberto. Essa falha permite que um atacante execute comandos SQL arbitrários através do nome de um campo personalizado utilizado em relatórios de custo. As versões afetadas são aquelas anteriores a 16.6.9, 17.0.6, 17.1.3 e 17.2.1. A correção foi disponibilizada na versão 16.6.9.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante com privilégios de administrador executar comandos SQL arbitrários no banco de dados do OpenProject. Isso pode levar à exfiltração de dados confidenciais, modificação de dados, ou até mesmo à tomada de controle completa do sistema. A vulnerabilidade é particularmente preocupante porque o campo personalizado que a explora requer privilégios de administrador para ser criado, limitando o ataque a usuários com esse nível de acesso. No entanto, uma vez que o campo personalizado é criado, a injeção SQL pode ser explorada para comprometer a integridade e a confidencialidade dos dados do projeto.
A vulnerabilidade foi divulgada em 2026-03-18. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV. A existência de uma vulnerabilidade de SQL Injection com uma pontuação CVSS de 9.1 indica um risco significativo e a necessidade de aplicação imediata da correção.
Organizations using OpenProject for project management, particularly those with custom fields and Cost Reports enabled, are at risk. Environments with limited access controls or where administrator privileges are broadly granted are especially vulnerable. Shared hosting environments running OpenProject should be carefully assessed.
• linux / server:
journalctl -u openproject -g "SQL injection"• generic web:
curl -I 'https://<openproject_url>/cost_reports?custom_field_name=<sqli_payload>' | grep 'SQL injection'disclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o OpenProject para a versão 16.6.9 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, uma medida temporária é desabilitar o uso de campos personalizados em relatórios de custo. Além disso, revise e sanitize cuidadosamente todos os dados de entrada do usuário, especialmente aqueles relacionados a campos personalizados. Implementar regras de firewall de aplicação web (WAF) para detectar e bloquear tentativas de injeção SQL pode fornecer uma camada adicional de proteção. Após a atualização, confirme a correção executando um relatório de custo com um campo personalizado e verificando se não há erros de SQL.
Atualize OpenProject para a versão 16.6.9, 17.0.6, 17.1.3 ou 17.2.1, ou para uma versão posterior. Essas versões corrigem a vulnerabilidade de injeção SQL (SQL Injection) no nome de um campo personalizado e a vulnerabilidade relacionada no módulo de Repositorios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32698 is a critical SQL injection vulnerability in OpenProject versions prior to 16.6.9, 17.0.6, 17.1.3, and 17.2.1, allowing attackers to execute SQL commands via custom field names in Cost Reports.
You are affected if you are running OpenProject versions ≤ 17.2.0 and < 17.2.1. Check your OpenProject version and upgrade immediately if vulnerable.
Upgrade OpenProject to version 16.6.9 or later. Restrict access to Cost Report generation and implement input validation as temporary mitigations.
While no active exploitation has been confirmed, the vulnerability's severity and SQL injection nature make it a likely target for attackers.
Refer to the OpenProject security advisories page for the latest information and updates regarding CVE-2026-32698: [https://www.openproject.org/security-advisories/](https://www.openproject.org/security-advisories/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Gemfile.lock e descubra na hora se você está afetado.