CVE-2026-44733
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
W OpenProject przed wersjami 17.3.2 i 17.4.0 wykryto błąd logiki biznesowej w mechanizmie zmiany hasła. Poprzez żądanie PATCH do /api/v3/users/me możliwe jest ominięcie wymogów dotyczących siły hasła, co pozwala atakującemu na zmianę hasła użytkownika po przejęciu sesji.
Ocena ryzyka
Ryzyko polega na tym, że atakujący po przejęciu aktywnej sesji użytkownika może ustawić słabe hasło, co ułatwia dalszy nieautoryzowany dostęp do konta i potencjalnie do wrażliwych danych projektu.
Rekomendacja
Należy niezwłocznie zaktualizować OpenProject do wersji 17.3.2 lub 17.4.0, w których naprawiono tę podatność. Po aktualizacji warto wymusić zmianę haseł dla wszystkich użytkowników.
Oryginalny opis (angielski, źródło NVD)
OpenProject is open-source, web-based project management software. Prior to 17.3.2 and 17.4.0, Business Logic Error on OpenProject through PATCH request to /api/v3/users/me permits to bypass password requirements. A password validation flaw in the change password behavior allows attackers to change a user's password only with an active session takeover. This vulnerability is fixed in 17.3.2 and 17.4.0.

