CVE-2026-44736
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
Podatność w OpenProject przed wersją 17.4.0 umożliwia uwierzytelnionemu użytkownikowi odczytanie relacji oraz tytułów pakietów roboczych, do których nie ma uprawnień, poprzez endpoint GET /api/v3/relations. Problem wynika z błędnej optymalizacji wydajności w RelationQuery, która omija zakres widoczności Relation.visible.
Ocena ryzyka
Organizacja narażona jest na wyciek poufnych informacji, takich jak tytuły pakietów roboczych, które powinny być dostępne tylko dla uprawnionych użytkowników. Może to prowadzić do naruszenia zasad bezpieczeństwa i utraty kontroli nad danymi.
Rekomendacja
Należy niezwłocznie zaktualizować OpenProject do wersji 17.4.0 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
OpenProject is open-source, web-based project management software. Prior to 17.4.0, the GET /api/v3/relations endpoint allows any authenticated user to retrieve relations — and the subject (title) of work packages they have no permission to view — by supplying an arbitrary work package ID in the involved, fromId, or toId filter. This bypasses the Relation.visible scope due to a flawed performance optimization in RelationQuery. This vulnerability is fixed in 17.4.0.

