CVE-2026-22602: CWE-200: opf openproject 中敏感信息向未授权参与者暴露

严重性：低 类型：漏洞

CVE-2026-22602

OpenProject 是一款开源、基于网络的项目管理软件。在 16.6.2 版本之前，拥有低权限的登录用户可以查看其他用户的完整姓名。由于用户 ID 是按顺序可预测地分配的（例如，1 到 1000），攻击者可以通过遍历这些 URL 来提取所有用户的完整姓名列表。相同的行为也可以通过 OpenProject API 复现，从而也可以通过 API 自动获取完整姓名。此问题已在版本 16.6.2 中修复。无法升级的用户可以手动应用补丁。

AI 分析

技术总结

CVE-2026-22602 是一个被归类为 CWE-200 的信息披露漏洞，影响 OpenProject（一款开源、基于网络的项目管理工具）。在 16.6.2 之前的版本中，拥有低权限的认证用户可以通过利用可预测的顺序用户 ID 分配来访问其他用户的完整姓名。由于用户 ID 按顺序递增（例如，1 到 1000），攻击者可以遍历用户个人资料 URL 或使用 OpenProject API 自动检索所有用户的完整姓名。发生此暴露是因为系统未根据权限级别充分限制对用户身份信息的访问。该漏洞要求攻击者至少以低权限登录并进行一些用户交互，但不需要更高的权限。该漏洞不允许访问完整姓名以外的敏感凭据或其他个人数据，也不允许修改或破坏系统。此问题已在 OpenProject 版本 16.6.2 中得到解决，该版本适当地限制了用户信息的访问。无法升级的组织可以手动应用补丁。目前尚未发现该漏洞在野外被利用，CVSS v3.1 基础评分为 3.5，反映了由于影响有限和利用复杂性而导致的低严重性。

潜在影响

对于欧洲组织而言，CVE-2026-22602 的主要影响是在 OpenProject 环境中未经授权披露用户的完整姓名。虽然仅凭完整姓名看似风险较低，但它们可以通过暴露组织人员详细信息来促进社会工程、鱼叉式网络钓鱼或针对性侦察。这对于管理敏感或机密项目的组织尤其相关，因为用户身份暴露可能间接导致进一步的攻击。该漏洞不会损害系统完整性或可用性，因此不太可能造成运营中断。然而，在 GDPR 等具有严格隐私法规的行业，即使是有限的个人数据暴露也可能带来合规性影响和声誉后果。使用 OpenProject 进行项目管理的组织应评估其用户数据的敏感性以及暴露信息被滥用的可能性。该风险因需要认证访问而得到缓解，将暴露范围限制在内部人员或被盗用的账户内。

缓解建议

主要的缓解措施是将 OpenProject 安装升级到 16.6.2 或更高版本，该版本已修复此漏洞。对于无法立即升级的组织，建议手动应用官方补丁以限制对用户完整姓名的访问。此外，组织应实施强身份验证控制，以降低低权限用户未经授权访问的风险。监控和记录 API 使用情况以及用户个人资料访问模式有助于检测自动化的枚举尝试。将用户权限限制在最低必要程度并定期审查用户角色将减少攻击面。教育用户了解因暴露用户信息而带来的社会工程风险可以进一步减轻下游影响。最后，组织应审查其隐私政策，并确保遵守有关个人数据暴露的数据保护法规。

受影响国家 德国、法国、英国、荷兰、瑞典、比利时、意大利

CVE-2026-22602: CWE-200: opf openproject 中敏感信息向未授权参与者暴露

严重性：低 类型：漏洞

CVE：CVE-2026-22602

OpenProject 是一款开源、基于网络的项目管理软件。在 16.6.2 版本之前，拥有低权限的登录用户可以查看其他用户的完整姓名。由于用户 ID 是按顺序可预测地分配的（例如，1 到 1000），攻击者可以通过遍历这些 URL 来提取所有用户的完整姓名列表。相同的行为也可以通过 OpenProject API 复现，从而也可以通过 API 自动获取完整姓名。此问题已在版本 16.6.2 中修复。无法升级的用户可以手动应用补丁。

技术总结

CVE-2026-22602 是一个被归类为 CWE-200 的信息披露漏洞，影响 OpenProject（一款开源、基于网络的项目管理工具）。在 16.6.2 之前的版本中，拥有低权限的认证用户可以通过利用可预测的顺序用户 ID 分配来访问其他用户的完整姓名。由于用户 ID 按顺序递增（例如，1 到 1000），攻击者可以遍历用户个人资料 URL 或使用 OpenProject API 自动检索所有用户的完整姓名。发生此暴露是因为系统未根据权限级别充分限制对用户身份信息的访问。该漏洞要求攻击者至少以低权限登录并进行一些用户交互，但不需要更高的权限。该漏洞不允许访问完整姓名以外的敏感凭据或其他个人数据，也不允许修改或破坏系统。此问题已在 OpenProject 版本 16.6.2 中得到解决，该版本适当地限制了用户信息的访问。无法升级的组织可以手动应用补丁。目前尚未发现该漏洞在野外被利用，CVSS v3.1 基础评分为 3.5，反映了由于影响有限和利用复杂性而导致的低严重性。

潜在影响

对于欧洲组织而言，CVE-2026-22602 的主要影响是在 OpenProject 环境中未经授权披露用户的完整姓名。虽然仅凭完整姓名看似风险较低，但它们可以通过暴露组织人员详细信息来促进社会工程、鱼叉式网络钓鱼或针对性侦察。这对于管理敏感或机密项目的组织尤其相关，因为用户身份暴露可能间接导致进一步的攻击。该漏洞不会损害系统完整性或可用性，因此不太可能造成运营中断。然而，在 GDPR 等具有严格隐私法规的行业，即使是有限的个人数据暴露也可能带来合规性影响和声誉后果。使用 OpenProject 进行项目管理的组织应评估其用户数据的敏感性以及暴露信息被滥用的可能性。该风险因需要认证访问而得到缓解，将暴露范围限制在内部人员或被盗用的账户内。

缓解建议

主要的缓解措施是将 OpenProject 安装升级到 16.6.2 或更高版本，该版本已修复此漏洞。对于无法立即升级的组织，建议手动应用官方补丁以限制对用户完整姓名的访问。此外，组织应实施强身份验证控制，以降低低权限用户未经授权访问的风险。监控和记录 API 使用情况以及用户个人资料访问模式有助于检测自动化的枚举尝试。将用户权限限制在最低必要程度并定期审查用户角色将减少攻击面。教育用户了解因暴露用户信息而带来的社会工程风险可以进一步减轻下游影响。最后，组织应审查其隐私政策，并确保遵守有关个人数据暴露的数据保护法规。

受影响国家 德国、法国、英国、荷兰、瑞典、比利时、意大利

来源： CVE Database V5 发布日期： 2026年1月10日 星期六

CVE-2026-22602: CWE-200: opf openproject 中敏感信息向未授权参与者暴露

▲0▼ Star 低 漏洞 CVE-2026-22602 cve cve-2026-22602 cwe-200

发布日期： 2026年1月10日 星期六 (01/10/2026, 01:06:12 UTC) 来源： CVE Database V5 供应商/项目： opf 产品： openproject

描述 OpenProject 是一款开源、基于网络的项目管理软件。在 16.6.2 版本之前，拥有低权限的登录用户可以查看其他用户的完整姓名。由于用户 ID 是按顺序可预测地分配的（例如，1 到 1000），攻击者可以通过遍历这些 URL 来提取所有用户的完整姓名列表。相同的行为也可以通过 OpenProject API 复现，从而也可以通过 API 自动获取完整姓名。此问题已在版本 16.6.2 中修复。无法升级的用户可以手动应用补丁。

AI 驱动分析 AI 最后更新： 01/10/2026, 02:01:51 UTC

技术分析 CVE-2026-22602 是一个被归类为 CWE-200 的信息披露漏洞，影响 OpenProject（一款开源、基于网络的项目管理工具）。在 16.6.2 之前的版本中，拥有低权限的认证用户可以通过利用可预测的顺序用户 ID 分配来访问其他用户的完整姓名。由于用户 ID 按顺序递增（例如，1 到 1000），攻击者可以遍历用户个人资料 URL 或使用 OpenProject API 自动检索所有用户的完整姓名。发生此暴露是因为系统未根据权限级别充分限制对用户身份信息的访问。该漏洞要求攻击者至少以低权限登录并进行一些用户交互，但不需要更高的权限。该漏洞不允许访问完整姓名以外的敏感凭据或其他个人数据，也不允许修改或破坏系统。此问题已在 OpenProject 版本 16.6.2 中得到解决，该版本适当地限制了用户信息的访问。无法升级的组织可以手动应用补丁。目前尚未发现该漏洞在野外被利用，CVSS v3.1 基础评分为 3.5，反映了由于影响有限和利用复杂性而导致的低严重性。

潜在影响 对于欧洲组织而言，CVE-2026-22602 的主要影响是在 OpenProject 环境中未经授权披露用户的完整姓名。虽然仅凭完整姓名看似风险较低，但它们可以通过暴露组织人员详细信息来促进社会工程、鱼叉式网络钓鱼或针对性侦察。这对于管理敏感或机密项目的组织尤其相关，因为用户身份暴露可能间接导致进一步的攻击。该漏洞不会损害系统完整性或可用性，因此不太可能造成运营中断。然而，在 GDPR 等具有严格隐私法规的行业，即使是有限的个人数据暴露也可能带来合规性影响和声誉后果。使用 OpenProject 进行项目管理的组织应评估其用户数据的敏感性以及暴露信息被滥用的可能性。该风险因需要认证访问而得到缓解，将暴露范围限制在内部人员或被盗用的账户内。

缓解建议 主要的缓解措施是将 OpenProject 安装升级到 16.6.2 或更高版本，该版本已修复此漏洞。对于无法立即升级的组织，建议手动应用官方补丁以限制对用户完整姓名的访问。此外，组织应实施强身份验证控制，以降低低权限用户未经授权访问的风险。监控和记录 API 使用情况以及用户个人资料访问模式有助于检测自动化的枚举尝试。将用户权限限制在最低必要程度并定期审查用户角色将减少攻击面。教育用户了解因暴露用户信息而带来的社会工程风险可以进一步减轻下游影响。最后，组织应审查其隐私政策，并确保遵守有关个人数据暴露的数据保护法规。

受影响国家 德国 法国 英国 荷兰 瑞典 比利时 意大利

需要更详细的分析？ 升级到专业控制台

技术详情 数据版本 5.2 分配者简称 GitHub_M 预留日期 2026-01-07T21:50:39.533Z Cvss 版本 3.1 状态 已发布

威胁 ID： 6961b006ed32c7f018eb8fdd 添加到数据库： 2026年1月10日，凌晨1:48:54 最后充实： 2026年1月10日，凌晨2:01:51 最后更新： 2026年1月11日，晚上10:26:18 浏览量： 15

社区评论 0 条评论 众包缓解策略，分享情报上下文，并对最有帮助的回复进行投票。登录以发表您的意见，帮助防御者保持领先。 排序方式：最新 最旧 撰写评论

社区提示 ▼ 正在加载社区见解… 想要贡献缓解步骤或威胁情报上下文？请登录或创建账户加入社区讨论。

相关威胁 CVE-2025-68493: CWE-112 Apache Software Foundation Apache Struts 中缺少 XML 验证 未知 漏洞 2026年1月11日 星期日 CVE-2025-15506: AcademySoftwareFoundation OpenColorIO 中的越界读取 中 漏洞 2026年1月11日 星期日 CVE-2026-0843: jiujiujia jjjfood 中的 SQL 注入 中 漏洞 2026年1月11日 星期日 CVE-2026-0842: Flycatcher Toys smART Sketcher 中缺少身份验证 中 漏洞 2026年1月11日 星期日 CVE-2026-0841: UTT 进取 520W 中的缓冲区溢出 高 漏洞 2026年1月11日 星期日

操作 更新 AI 分析 PRO 更新 AI 分析需要专业控制台访问权限。在控制台 -> 计费中升级。 请登录控制台以使用 AI 分析功能。

分享 外部链接 NVD 数据库 MITRE CVE 参考 1 参考 2 参考 3 参考 4 在 Google 上搜索

需要更多覆盖范围？ 在控制台 -> 计费中升级到专业控制台，以获得 AI 刷新和更高的限制。 对于事件响应和修复，OffSeq 服务可以帮助更快地解决威胁。

最新威胁 为需要了解接下来重要事情的安全团队提供实时情报。

SEQ SIA 注册号 40203410806 Lastadijas 12 k-3, 里加, 拉脱维亚, LV-1050 价格包含增值税 (21%) 支持 radar@offseq.com +371 2256 5353 平台 仪表板 威胁 威胁地图 订阅源 API 文档 账户控制台 支持 OffSeq.com 职业 服务 联系 周一至周五，09:00–18:00 (东欧时间) 3个工作日内回复 政策与支付 §条款与条件 ↗ 交付条款 ↺ 退货与退款 🔒隐私政策 接受的付款方式 卡支付由 EveryPay 安全处理。 Twitter Mastodon GitHub Bluesky LinkedIn

键盘快捷键 导航 前往主页 g h 前往威胁 g t 前往地图 g m 前往订阅源 g f 前往控制台 g c 搜索与筛选器 聚焦搜索/切换筛选器 / f 选择"所有时间"筛选器 a 清除所有筛选器 c l 刷新数据 r UI 控制 切换深色/浅色主题 t 显示键盘快捷键 ? 清除焦点/关闭模态框 Escape 辅助功能 导航到下一项 j 导航到上一项 k 激活选定项 Enter 提示： 随时按 ? 键切换此帮助面板。像 g h 这样的多键快捷键应按顺序按下。