CVE-2026-22603: CWE-307: opf openproject 中不当限制过多的身份验证尝试

严重性: 中 类型: 漏洞 CVE: CVE-2026-22603

OpenProject 是一款开源、基于网络的项目管理软件。在 16.6.2 版本之前，OpenProject 的未认证密码更改端点 (/account/change_password) 未受到与普通登录表单相同的暴力破解保护措施的保护。在受影响版本中，攻击者若能够猜测或枚举用户ID，则可以针对给定账户发送无限次的密码更改请求，而不会触发锁定或其他速率限制控制。这允许针对有效账户进行自动化的密码猜测（例如，使用常见密码字典）。成功的猜测将导致目标用户的账户完全被接管，并且根据该用户的角色，可能导致应用程序内部的进一步权限提升。此问题已在 16.6.2 版本中修复。无法升级的用户可以手动应用补丁。

技术摘要

CVE-2026-22603 是一个归类于 CWE-307（不当限制过多的身份验证尝试）的漏洞，影响 OpenProject 这款开源、基于网络的项目管理软件。在 16.6.2 版本之前，未认证的密码更改端点 (/account/change_password) 未强制执行与登录表单相同的暴力破解保护。此缺陷使得能够枚举或猜测有效用户ID的攻击者可以发送无限次的密码更改请求，而不会触发锁定或速率限制控制。攻击者可以使用常见密码列表对有效账户进行自动化密码猜测，可能导致账户完全被接管。一旦账户被攻破，攻击者可能会根据用户在应用程序内的角色提升权限，这可能带来对敏感项目管理数据和管理功能的更广泛访问。该漏洞无需身份验证或用户交互，使得更容易通过网络进行远程利用。CVSS 4.0 基础评分为 6.9（中危），反映了网络攻击途径、低复杂性、无需权限或用户交互以及对保密性和完整性的有限影响。该问题已在 OpenProject 16.6.2 版本中修复，建议无法立即升级的用户进行手动修补。截至发布日期，尚未有已知的野外利用报告。

潜在影响

对于欧洲组织而言，此漏洞对项目管理数据和用户账户的保密性和完整性构成重大风险。用户账户（尤其是具有管理或提升权限的账户）的泄露可能导致对敏感项目信息的未授权访问、对项目时间线的操控以及协作工作流程的中断。这可能影响业务运营、项目交付，并可能暴露知识产权或敏感的客户数据。依赖 OpenProject 执行关键项目管理功能的组织如果遭到利用，可能面临运营中断和声誉损害。密码更改端点缺乏暴力破解保护增加了自动化攻击的可能性，尤其是在用户枚举可能的环境中。鉴于项目管理工具的协作性质，初始入侵后应用程序内部的横向移动是一个值得关注的问题。在数据保护（例如 GDPR）方面负有合规义务的欧洲实体必须考虑此漏洞导致的数据泄露风险。

缓解建议

主要的缓解措施是将 OpenProject 安装升级到 16.6.2 或更高版本，其中已修复该漏洞。对于无法立即升级的组织，建议手动应用官方补丁。此外，在 /account/change_password 端点上实施自定义的速率限制或锁定机制可以降低暴力破解攻击的风险。监控和告警异常的密码更改请求模式或失败尝试的激增有助于早期检测利用尝试。通过网络控制或 Web 应用程序防火墙 (WAF) 限制对密码更改端点的访问可以增加额外的防御层。为用户账户强制执行强密码策略和多因素身份验证 (MFA) 可以减轻凭证泄露的影响。定期审核 OpenProject 内的用户角色和权限可以降低权限提升的风险。最后，教育用户关于网络钓鱼和凭证安全的知识是对技术控制的补充。

受影响国家

德国、法国、英国、荷兰、瑞典、比利时、意大利

来源: CVE 数据库 V5 发布时间: 2026年1月10日星期六