CVE-2026-52784
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
W OpenProject przed wersjami 17.3.3 i 17.4.1 występuje podatność CSRF na ścieżce /users/:id przez parametr POST user[admin]. Atakujący może wykorzystać tę lukę do nieautoryzowanej zmiany uprawnień administratora.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia konta administratora przez atak CSRF, co może prowadzić do pełnej kompromitacji systemu i danych projektowych.
Rekomendacja
Należy niezwłocznie zaktualizować OpenProject do wersji 17.3.3 lub 17.4.1, w których usunięto tę podatność.
Oryginalny opis (angielski, źródło NVD)
OpenProject is open-source, web-based project management software. Prior to 17.3.3 and 17.4.1, there is a CSRF on TARGET through /users/:id via POST parameter "user[admin]". This vulnerability is fixed in 17.3.3 and 17.4.1.

