CVE-2026-22605: CWE-284: OpenProject中的不当访问控制

严重性： 中等 类型： 漏洞

CVE-2026-22605

OpenProject是一个开源、基于网络的项目管理软件。在16.6.3版本之前，OpenProject允许在任何项目中拥有"查看会议"权限的用户，访问属于该用户无权限访问的项目的会议详情。此问题已在16.6.3版本中修复。

AI分析

技术总结

CVE-2026-22605是在开源项目管理软件OpenProject中发现的一个不当访问控制漏洞，归类于CWE-284。该漏洞影响16.6.3之前的所有版本。其产生的原因是，被授予任何项目"查看会议"权限的用户，可以访问他们未被授权查看的项目的会议详情。这表明在会议数据上执行项目级访问限制时存在缺陷，允许未经授权的信息披露。

该漏洞不需要用户交互，但要求攻击者至少在某个项目中通过身份验证并拥有"查看会议"权限。CVSS v3.1基础评分为4.3（中等），反映了攻击复杂度低（AC:L）、网络攻击向量（AV:N）、所需权限较低（PR:L）、无需用户交互（UI:N），并且仅对保密性产生有限影响（C:L），对完整性和可用性无影响。目前尚未有在野利用的公开报告。

该问题在OpenProject版本16.6.3中通过修正访问控制检查得以解决，以确保只有拥有适当项目权限的用户才能访问会议详情。此漏洞可能导致敏感的会议信息被未经授权地披露，可能暴露机密的项目讨论或计划。

潜在影响

对欧洲组织而言，此漏洞带来未经授权披露敏感项目会议信息的风险，这些信息可能包括战略计划、专有数据或个人数据。此类暴露可能导致竞争劣势、声誉损害或法规合规问题，尤其是在涉及个人数据时可能违反GDPR。由于OpenProject在政府、工程和IT等多个行业中使用，在管理敏感项目的场景下，其影响可能很显著。

该漏洞不影响系统完整性或可用性，因此不太可能导致运营中断。然而，保密性破坏可能助长更有针对性的攻击或内部威胁。依赖16.6.3之前版本的OpenProject的组织应将其视为中等风险，并优先采取修复措施以防止数据泄露。

缓解建议

主要的缓解措施是将OpenProject安装升级到16.6.3或更高版本，该版本已修复访问控制缺陷。组织应审计当前用户权限，特别是"查看会议"权限，确保仅将其授予需要该权限的可信用户。实施基于角色的访问控制（RBAC）策略，以最小化过度的权限。此外，监控访问日志中可能表明利用尝试的异常会议数据访问模式。

如果无法立即升级，考虑限制对OpenProject实例的网络访问或隔离敏感项目。定期审查和更新与项目管理工具相关的安全策略。最后，教育用户有关保护会议信息和报告可疑活动的重要性。

受影响国家

德国、法国、英国、荷兰、瑞典

来源：CVE数据库 V5 发布日期：2026年1月10日 星期六