Plataforma
other
Componente
openproject
Corrigido em
16.6.10
17.0.1
17.1.1
17.2.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no OpenProject, um software de gerenciamento de projetos web de código aberto. Esta falha, presente em versões anteriores a 16.6.9, 17.0.6, 17.1.3 e 17.2.1, permite que um atacante com acesso de push a um repositório insira código HTML malicioso nos nomes de arquivos. A exploração bem-sucedida pode resultar em ataques XSS persistentes contra todos os membros do projeto que visualizam a página de repositórios.
O impacto desta vulnerabilidade é significativo, pois permite a execução de scripts maliciosos no navegador de qualquer usuário que acesse a página de repositórios do projeto. Um atacante pode usar essa falha para roubar cookies de sessão, redirecionar usuários para sites maliciosos, exibir conteúdo falso ou até mesmo comprometer a conta do usuário. A persistência do ataque significa que o código malicioso permanece armazenado no repositório, afetando continuamente os usuários até que a vulnerabilidade seja corrigida. A injeção de HTML pode ser usada para criar phishing sofisticado ou para coletar informações confidenciais dos usuários.
A vulnerabilidade foi divulgada em 2026-03-18. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV. A ausência de um Proof of Concept (PoC) publicamente disponível sugere que a exploração ainda não é amplamente difundida, mas a gravidade da vulnerabilidade (CVSS 9.1) indica um risco significativo.
Organizations using OpenProject for project management, particularly those with multiple users and shared repositories, are at risk. Teams relying on OpenProject for sensitive project data are especially vulnerable, as the XSS attack could lead to data theft or unauthorized access. Users with push access to repositories represent the most immediate threat.
• linux / server: Monitor OpenProject logs for unusual activity related to repository commits. Use journalctl -f to observe repository access patterns and look for suspicious filenames.
journalctl -f | grep 'repository commit' | grep -i 'html'• generic web: Examine OpenProject access and error logs for requests containing suspicious HTML code in filenames. Use curl to test repository endpoints with crafted filenames and observe the response for signs of XSS.
curl 'https://openproject.example.com/repositories/your_repo/commits?filename=<script>alert("XSS")</script>' -sdisclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o OpenProject para a versão 17.2.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar validação de entrada rigorosa nos nomes de arquivos exibidos na página de repositórios. Implementar uma Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns pode fornecer uma camada adicional de proteção. Monitore os logs do OpenProject em busca de padrões suspeitos, como tentativas de criar commits com nomes de arquivos incomuns ou contendo caracteres especiais.
Atualize o OpenProject para a versão 16.6.9, 17.0.6, 17.1.3 ou 17.2.1, ou para uma versão posterior. Isso corrige a vulnerabilidade de Cross-Site Scripting (XSS) persistente ao escapar corretamente os nomes de arquivo exibidos dos repositórios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32703 is a critical Cross-Site Scripting (XSS) vulnerability in OpenProject versions prior to 16.6.9, 17.0.6, 17.1.3, and 17.2.1, allowing attackers to inject malicious code via repository filenames.
You are affected if you are using OpenProject versions ≤ 17.2.0 and < 17.2.1. Upgrade to 17.2.1 or later to mitigate the risk.
Upgrade OpenProject to version 17.2.1 or later. Restrict push access to repositories if immediate upgrading is not possible.
No active exploitation campaigns have been publicly reported, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the OpenProject security advisory for detailed information and updates: [https://www.openproject.org/security-advisories/](https://www.openproject.org/security-advisories/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.