CVE-2026-32703
CriticalSummary
OpenProject to oprogramowanie do zarządzania projektami, które w wersjach przed 16.6.9, 17.0.6, 17.1.3 i 17.2.1 miało problem z niewłaściwym przetwarzaniem nazw plików w module Repositories. Atakujący z dostępem do repozytorium mógł wprowadzać złośliwy kod HTML, co prowadziło do ataku XSS na wszystkich członków projektu.
Risk Assessment
Organizacja narażona jest na ataki XSS, które mogą prowadzić do kradzieży danych użytkowników oraz przejęcia sesji. Wszyscy członkowie projektu, którzy odwiedzają stronę repozytoriów, mogą być dotknięci tym zagrożeniem.
Recommendation
Zaleca się aktualizację OpenProject do wersji 16.6.9, 17.0.6, 17.1.3 lub 17.2.1, aby usunąć tę podatność. Należy również przeprowadzić audyt bezpieczeństwa, aby zidentyfikować potencjalne złośliwe zmiany w repozytoriach.
Original NVD description (English source)
OpenProject is an open-source, web-based project management software. In versions prior to 16.6.9, 17.0.6, 17.1.3, and 17.2.1, the Repositories module did not properly escape filenames displayed from repositories. This allowed an attacker with push access into the repository to create commits with filenames that included HTML code that was injected in the page without proper sanitation. This allowed a persisted XSS attack against all members of this project that accessed the repositories page to display a changeset where the maliciously crafted file was deleted. Versions 16.6.9, 17.0.6, 17.1.3, and 17.2.1 fix the issue.

