CVE-2026-25763
CriticalSummary
OpenProject to oprogramowanie do zarządzania projektami, które przed wersjami 16.6.7 i 17.0.3 miało podatność na zapis dowolnych plików w punkcie końcowym zmian repozytorium. Atakujący mógł wykorzystać specjalnie skonstruowaną wartość rev, aby wstrzyknąć opcje wiersza poleceń git log, co prowadziło do zapisu plików w wybranej przez niego lokalizacji.
Risk Assessment
Podatność ta pozwala użytkownikom z uprawnieniami :browse_repository na tworzenie lub nadpisywanie dowolnych plików, co może prowadzić do zdalnego wykonania kodu (RCE) i uzyskania dostępu do poufnych informacji.
Recommendation
Zaleca się aktualizację OpenProject do wersji 16.6.7 lub 17.0.3, aby usunąć tę podatność. Dodatkowo, należy ograniczyć uprawnienia użytkowników do przeglądania repozytoriów tylko do tych, którzy ich rzeczywiście potrzebują.
Original NVD description (English source)
OpenProject is an open-source, web-based project management software. Prior to versions 16.6.7 and 17.0.3, an arbitrary file write vulnerability exists in OpenProject’s repository changes endpoint (/projects/:project_id/repository/changes) when rendering the “latest changes” view via git log. By supplying a specially crafted rev value (for example, rev=--output=/tmp/poc.txt), an attacker can inject git log command-line options. When OpenProject executes the SCM command, Git interprets the attacker-controlled rev as an option and writes the output to an attacker-chosen path. As a result, any user with the :browse_repository permission on the project can create or overwrite arbitrary files that the OpenProject process user is permitted to write. The written contents consist of git log output, but by crafting custom commits the attacker can still upload valid shell scripts, ultimately leading to RCE. The RCE lets the attacker create a reverse shell to the target host and view confidential

