Katalog CVE

CVE-2026-46386

KrytyczneCVSS 9.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

Oficjalny obraz Dockera OpenProject zawiera domyślny klucz SECRET_KEY_BASE=OVERWRITE_ME, co w połączeniu z serializatorem cookies :marshal umożliwia każdemu zalogowanemu użytkownikowi deterministyczną deserializację Marshal przez czytnik ciasteczek /my/two_factor_devices. Podatność została naprawiona w nowszej wersji.

Ocena ryzyka

Atakujący może zdalnie wykonać dowolny kod lub uzyskać nieautoryzowany dostęp do systemu poprzez manipulację deserializacją Marshal, co prowadzi do pełnego przejęcia instancji OpenProject.

Rekomendacja

Natychmiast zaktualizuj obraz Dockera OpenProject do najnowszej wersji oraz zmień domyślny SECRET_KEY_BASE na silny, losowy klucz.

Oryginalny opis (angielski, źródło NVD)

OpenProject is open-source, web-based project management software. Prior to , the official openproject/openproject Docker image ships ENV SECRET_KEY_BASE=OVERWRITE_ME as the default Rails master key. Combined with cookies_serializer = :marshal, this gives any logged-in user a deterministic Marshal-deserialization path reachable via the /my/two_factor_devices cookie reader This vulnerability is fixed in .

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS