Katalog CVE

CVE-2026-52784

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

W OpenProject przed wersjami 17.3.3 i 17.4.1 występuje podatność CSRF na ścieżce /users/:id przez parametr POST user[admin]. Atakujący może wykorzystać tę lukę do nieautoryzowanej zmiany uprawnień administratora.

Ocena ryzyka

Ryzyko polega na możliwości przejęcia konta administratora przez atak CSRF, co może prowadzić do pełnej kompromitacji systemu i danych projektowych.

Rekomendacja

Należy niezwłocznie zaktualizować OpenProject do wersji 17.3.3 lub 17.4.1, w których usunięto tę podatność.

Oryginalny opis (angielski, źródło NVD)

OpenProject is open-source, web-based project management software. Prior to 17.3.3 and 17.4.1, there is a CSRF on TARGET through /users/:id via POST parameter "user[admin]". This vulnerability is fixed in 17.3.3 and 17.4.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS