UNKNOWNCVE-2026-34717
CVE-2026-34717:OpenProject SQL注入漏洞(≤17.2.3)
平台
rails
组件
openproject
已修复版本
17.2.3
CVE-2026-34717是一个存在于OpenProject项目管理软件中的SQL注入漏洞。该漏洞源于模块/reporting/lib/report/operator.rb文件中的=n操作符直接将用户输入嵌入到SQL WHERE子句中,而没有进行参数化处理。攻击者可以利用此漏洞执行任意SQL命令,从而可能导致数据泄露或篡改。受影响的版本包括17.2.3之前的版本。此问题已在17.2.3版本中得到修复。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
CVE-2026-34717是什么?
CVE-2026-34717是OpenProject中一个严重的SQL注入漏洞,允许攻击者执行任意SQL命令。
我是否受到CVE-2026-34717的影响?
如果您的OpenProject版本低于或等于17.2.3,则您可能受到此漏洞的影响。
如何修复CVE-2026-34717?
将OpenProject升级到17.2.3或更高版本以修复此漏洞。