CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-34717

Critical
Published: Translated: NVD NIST

Summary

OpenProject to oprogramowanie do zarządzania projektami w chmurze. W wersjach przed 17.2.3 operator =n w pliku modules/reporting/lib/report/operator.rb:177 wprowadza dane użytkownika bezpośrednio do klauzul WHERE SQL bez parametryzacji, co może prowadzić do ataków SQL injection.

Risk Assessment

Brak parametryzacji w zapytaniach SQL stwarza ryzyko przejęcia kontroli nad bazą danych przez atakującego, co może skutkować utratą danych lub ich nieautoryzowanym dostępem.

Recommendation

Zaleca się aktualizację OpenProject do wersji 17.2.3 lub nowszej, aby usunąć tę podatność i zabezpieczyć aplikację przed potencjalnymi atakami.

Original NVD description (English source)

OpenProject is an open-source, web-based project management software. Prior to version 17.2.3, the =n operator in modules/reporting/lib/report/operator.rb:177 embeds user input directly into SQL WHERE clauses without parameterization. This issue has been patched in version 17.2.3.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS