Katalog CVE

CVE-2026-44736

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

Podatność w OpenProject przed wersją 17.4.0 umożliwia uwierzytelnionemu użytkownikowi odczytanie relacji oraz tytułów pakietów roboczych, do których nie ma uprawnień, poprzez endpoint GET /api/v3/relations. Problem wynika z błędnej optymalizacji wydajności w RelationQuery, która omija zakres widoczności Relation.visible.

Ocena ryzyka

Organizacja narażona jest na wyciek poufnych informacji, takich jak tytuły pakietów roboczych, które powinny być dostępne tylko dla uprawnionych użytkowników. Może to prowadzić do naruszenia zasad bezpieczeństwa i utraty kontroli nad danymi.

Rekomendacja

Należy niezwłocznie zaktualizować OpenProject do wersji 17.4.0 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

OpenProject is open-source, web-based project management software. Prior to 17.4.0, the GET /api/v3/relations endpoint allows any authenticated user to retrieve relations — and the subject (title) of work packages they have no permission to view — by supplying an arbitrary work package ID in the involved, fromId, or toId filter. This bypasses the Relation.visible scope due to a flawed performance optimization in RelationQuery. This vulnerability is fixed in 17.4.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS