Wrobind

**Nome do software vulnerável e versões afetadas** Versões do OpenProject anteriores à 14.3.0 **Descrição** A vulnerabilidade permite que um invasor redirecione para um host remoto a fim de iniciar um ataque de phishing contra a conta de um usuário do OpenProject, utilizando um cabeçalho HOST falsificado na configuração padrão das instalações em pacote e na configuração “Login obrigatório”. Isso afeta instalações empacotadas padrão do OpenProject sem configuração adicional ou módulos no Apache. A vulnerabilidade também pode afetar outras instalações que não corrigiram os cabeçalhos HOST/X-Forwarded-Host. A versão 14.3.0 inclui proteções mais robustas para o nome do host a partir do próprio aplicativo. **Recomendações** Para versões anteriores à 14.3.0, atualize para a versão 14.3.0 para resolver o problema. Como solução temporária, considere usar o mod security para o Apache2. Corrija manualmente os cabeçalhos Host e X-Forwarded-Host no aplicativo proxy antes de chegar ao servidor de aplicativos do OpenProject. Como alternativa, aplique manualmente o patch para ativar as proteções de cabeçalho de host nas versões anteriores do OpenProject.