CVE-2026-34717
CriticalSummary
OpenProject to oprogramowanie do zarządzania projektami w chmurze. W wersjach przed 17.2.3 operator =n w pliku modules/reporting/lib/report/operator.rb:177 wprowadza dane użytkownika bezpośrednio do klauzul WHERE SQL bez parametryzacji, co może prowadzić do ataków SQL injection.
Risk Assessment
Brak parametryzacji w zapytaniach SQL stwarza ryzyko przejęcia kontroli nad bazą danych przez atakującego, co może skutkować utratą danych lub ich nieautoryzowanym dostępem.
Recommendation
Zaleca się aktualizację OpenProject do wersji 17.2.3 lub nowszej, aby usunąć tę podatność i zabezpieczyć aplikację przed potencjalnymi atakami.
Original NVD description (English source)
OpenProject is an open-source, web-based project management software. Prior to version 17.2.3, the =n operator in modules/reporting/lib/report/operator.rb:177 embeds user input directly into SQL WHERE clauses without parameterization. This issue has been patched in version 17.2.3.

