CVE-2024-41801

Versões do OpenProject anteriores à 14.3.0

A vulnerabilidade permite que um invasor redirecione para um host remoto a fim de iniciar um ataque de phishing contra a conta de um usuário do OpenProject, utilizando um cabeçalho HOST falsificado na configuração padrão das instalações em pacote e na configuração “Login obrigatório”. Isso afeta instalações empacotadas padrão do OpenProject sem configuração adicional ou módulos no Apache. A vulnerabilidade também pode afetar outras instalações que não corrigiram os cabeçalhos HOST/X-Forwarded-Host. A versão 14.3.0 inclui proteções mais robustas para o nome do host a partir do próprio aplicativo.

Para versões anteriores à 14.3.0, atualize para a versão 14.3.0 para resolver o problema.

Como solução temporária, considere usar o mod security para o Apache2.

Corrija manualmente os cabeçalhos Host e X-Forwarded-Host no aplicativo proxy antes de chegar ao servidor de aplicativos do OpenProject.

Como alternativa, aplique manualmente o patch para ativar as proteções de cabeçalho de host nas versões anteriores do OpenProject.