平台
ruby
组件
openproject
修复版本
16.6.10
17.0.1
17.1.1
17.2.1
CVE-2026-32698 是 OpenProject 项目管理软件中的 SQL 注入漏洞。该漏洞允许攻击者在生成成本报告时执行任意 SQL 命令,从而可能导致数据泄露或系统损坏。受影响的版本包括 17.2.0 之前的版本以及 17.2.1 之前的版本。建议用户尽快升级到 16.6.9 或更高版本以修复此安全问题。
该 SQL 注入漏洞的潜在影响非常严重。攻击者可以利用此漏洞访问和修改 OpenProject 数据库中的敏感数据,例如用户凭据、项目信息和财务数据。更进一步,攻击者可能能够利用此漏洞执行恶意代码,从而完全控制受影响的系统。由于自定义字段的创建需要管理员权限,攻击面有所限制,但如果攻击者已经获得了管理员权限,则后果不堪设想。结合仓库模块中的另一个漏洞,攻击的影响可能进一步扩大。
该漏洞已公开披露,并已分配了 CVE 编号。目前尚未观察到大规模的公开利用,但由于漏洞的严重性和易利用性,预计未来可能会出现利用尝试。建议密切关注安全社区的动态,并及时采取必要的缓解措施。该漏洞的 CVSS 评分较高,表明其潜在风险较高。
Organizations using OpenProject for project management, particularly those with custom fields and Cost Reports enabled, are at risk. Environments with limited access controls or where administrator privileges are broadly granted are especially vulnerable. Shared hosting environments running OpenProject should be carefully assessed.
• linux / server:
journalctl -u openproject -g "SQL injection"• generic web:
curl -I 'https://<openproject_url>/cost_reports?custom_field_name=<sqli_payload>' | grep 'SQL injection'disclosure
漏洞利用状态
EPSS
0.03% (10% 百分位)
CISA SSVC
最有效的缓解措施是立即将 OpenProject 升级到 16.6.9 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制自定义字段的使用,特别是在成本报告中。审查并加强 OpenProject 数据库的访问控制策略,确保只有授权用户才能访问敏感数据。实施 Web 应用防火墙 (WAF) 规则,以检测和阻止 SQL 注入攻击。在升级后,请验证漏洞是否已成功修复,例如通过尝试触发成本报告并检查 SQL 查询是否已正确清理。
将OpenProject更新到16.6.9、17.0.6、17.1.3或17.2.1版本,或更高版本。这些版本修复了自定义字段名称中的SQL注入漏洞以及Repositories模块中的相关漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-32698 是 OpenProject 项目管理软件中的一个 SQL 注入漏洞,允许攻击者在生成成本报告时执行任意 SQL 命令。
如果您正在使用 OpenProject 的版本低于 16.6.9 或 17.2.1,则您可能受到此漏洞的影响。
建议立即将 OpenProject 升级到 16.6.9 或更高版本。
目前尚未观察到大规模的公开利用,但由于漏洞的严重性和易利用性,预计未来可能会出现利用尝试。
请访问 OpenProject 的安全公告页面以获取更多信息:[https://www.openproject.org/security/advisories/](https://www.openproject.org/security/advisories/)
CVSS 向量
上传你的 Gemfile.lock 文件,立即知道是否受影响。