Katalog CVE

CVE-2026-34717

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OpenProject to oprogramowanie do zarządzania projektami w chmurze. W wersjach przed 17.2.3 operator =n w pliku modules/reporting/lib/report/operator.rb:177 wprowadza dane użytkownika bezpośrednio do klauzul WHERE SQL bez parametryzacji, co może prowadzić do ataków SQL injection.

Ocena ryzyka

Brak parametryzacji w zapytaniach SQL stwarza ryzyko przejęcia kontroli nad bazą danych przez atakującego, co może skutkować utratą danych lub ich nieautoryzowanym dostępem.

Rekomendacja

Zaleca się aktualizację OpenProject do wersji 17.2.3 lub nowszej, aby usunąć tę podatność i zabezpieczyć aplikację przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

OpenProject is an open-source, web-based project management software. Prior to version 17.2.3, the =n operator in modules/reporting/lib/report/operator.rb:177 embeds user input directly into SQL WHERE clauses without parameterization. This issue has been patched in version 17.2.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS