CVE-2026-22601 - OpenProject 邮件功能中的命令执行漏洞详解

OpenProject 是一款开源、基于网络的项目管理软件。在 OpenProject 16.6.1 及更低版本中，已注册的管理员可以通过配置 sendmail 二进制路径并发送测试邮件来执行任意命令。此问题已在 16.6.2 版本中得到修复。

发布日期： 2026年1月10日，凌晨2:15 最后修改日期： 2026年1月10日，凌晨2:15 可远程利用： 是！ 来源： security-advisories@github.com

以下产品受 CVE-2026-22601 漏洞影响。即使 cvefeed.io 了解受影响产品的确切版本，下表中也未显示此信息。

ID	供应商	产品	操作
1	Openproject	openproject

总计受影响供应商： 1 | 产品： 1

通用漏洞评分系统是一个用于评估软件和系统中漏洞严重程度的标准化框架。我们收集并显示每个 CVE 来自不同来源的 CVSS 评分。

分数	版本	严重性	向量	可利用性分数	影响分数	来源
8.6	CVSS 4.0	高				security-advisories@github.com

将 OpenProject 更新到 16.6.2 或更高版本以修复命令执行漏洞。

这里，您将找到与 CVE-2026-22601 相关的、提供深入信息、实用解决方案和有价值工具的外部链接精选列表。

URL	资源
https://github.com/opf/openproject/releases/tag/v16.6.2
https://github.com/opf/openproject/security/advisories/GHSA-9vrv-7h26-c7jc

CVE 标识漏洞的具体实例，而 CWE 则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2026-22601 与以下 CWE 相关联：

CWE-77：对命令中使用的特殊元素进行不当中和（‘命令注入’）

常见攻击模式枚举与分类 (CAPEC) 存储攻击模式，这些模式描述了对手利用 CVE-2026-22601 弱点所采用的常见属性和方法。

我们会扫描 GitHub 仓库以检测新的概念验证漏洞利用程序。以下列表是已在 GitHub 上发布的公共漏洞利用程序和概念验证的集合（按最近更新排序）。由于潜在的性能问题，结果限制在前15个仓库。

以下列表是文章中任何地方提到 CVE-2026-22601 漏洞的新闻。由于潜在的性能问题，结果限制在前20篇新闻文章。

下表列出了随时间对 CVE-2026-22601 漏洞所做的更改。漏洞历史记录详细信息有助于理解漏洞的演变，并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。

动作	类型	旧值	新值

| 新增 | CVSS V4.0 | | AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | | 新增 | CWE | | CWE-77 | | 新增 | 参考 | | https://github.com/opf/openproject/releases/tag/v16.6.2 | | 新增 | 参考 | | https://github.com/opf/openproject/security/advisories/GHSA-9vrv-7h26-c7jc |

EPSS（漏洞利用预测评分系统）是对未来30天内观察到漏洞利用活动概率的每日估计。下图显示了该漏洞的 EPSS 分数历史。

注入

CVSS 4.0

基础 CVSS 分数： 8.6