CVE-2026-49355
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
Podatność w OpenProject przed wersją 17.4.0 umożliwia ujawnienie danych prywatnych pakietów roboczych z powiązanego pakietu należącego do niedostępnego projektu poprzez żądanie GET do punktu końcowego API.
Ocena ryzyka
Organizacja narażona jest na wyciek poufnych informacji o pakietach roboczych z projektów, do których użytkownik nie ma dostępu, co może prowadzić do naruszenia poufności danych.
Rekomendacja
Należy niezwłocznie zaktualizować OpenProject do wersji 17.4.0 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
OpenProject is open-source, web-based project management software. Prior to 17.4.0, `GET /api/v3/meetings/:meeting_id/agenda_items/:agenda_item_id` discloses private work package data from a linked work package that belongs to a private/inaccessible project. This vulnerability is fixed in 17.4.0.

