PT-2026-29864 · Openproject · Openproject
Ochk0
·
Publicado
2026-04-02
·
Atualizado
2026-04-03
·
CVE-2026-34717
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:H |
Name of the Vulnerable Software and Affected Versions
OpenProject versões anteriores a 17.2.3
Description
OpenProject, um software de gerenciamento de projetos baseado na web, apresenta uma falha onde a entrada do usuário é inserida diretamente em cláusulas SQL WHERE sem a devida parametrização. Isso ocorre devido ao operador =n em modules/reporting/lib/report/operator.rb:177. Isso pode permitir a injeção de SQL. A falha afeta usuários autenticados e pode potencialmente conceder-lhes acesso ao banco de dados.
Recommendations
Atualize para a versão 17.2.3 ou posterior.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openproject