Katalog CVE

CVE-2026-44734

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

W OpenProject przed wersjami 17.3.2 i 17.4.0 wykryto brak autoryzacji w kontrolerze CostReportsController. Uwierzytelniony atakujący może zmienić nazwę, filtry i grupowanie dowolnego publicznego raportu kosztów, znając jego numeryczne ID, bez konieczności posiadania uprawnień właściciela.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanej modyfikacji publicznych raportów kosztów, co może prowadzić do manipulacji danymi finansowymi, dezorientacji użytkowników lub ukrycia rzeczywistych kosztów projektu.

Rekomendacja

Należy niezwłocznie zaktualizować OpenProject do wersji 17.3.2 lub 17.4.0, które zawierają poprawkę eliminującą tę lukę.

Oryginalny opis (angielski, źródło NVD)

OpenProject is open-source, web-based project management software. Prior to 17.3.2 and 17.4.0, a Missing Authorization vulnerability exists in OpenProject's CostReportsController. The rename and update actions allow any authenticated user to modify the name, filters, and grouping of any Public cost report in the system without verifying ownership or permission level. An attacker who discovers or guesses a public report's numeric ID can rename or overwrite its filter configuration without any warning to the report's owner. This vulnerability is fixed in 17.3.2 and 17.4.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS