CVE-2026-22605: CWE-284: OpenProject中的不当访问控制

严重性：中等 类型：漏洞 CVE：CVE-2026-22605

OpenProject是一款开源、基于网络的项目管理软件。在16.6.3版本之前，OpenProject允许在任何项目中拥有“查看会议”权限的用户，访问属于他们无权访问的项目的会议详情。此问题已在16.6.3版本中修复。

技术总结

CVE-2026-22605是一个归类于CWE-284的不当访问控制漏洞，发现于开源项目管理软件OpenProject中。该漏洞影响16.6.3之前的所有版本。其产生的原因是，被授予任何项目“查看会议”权限的用户可以访问他们未经授权查看的项目的会议详情。这表明在对会议数据执行项目级访问限制方面存在失败，导致未经授权的信息泄露。该漏洞不需要用户交互，但要求攻击者至少在某个项目上通过身份验证并拥有“查看会议”权限。CVSS v3.1基本评分为4.3（中等），反映了攻击复杂度低（AC:L）、网络攻击向量（AV:N）、所需权限（PR:L）、无需用户交互（UI:N）以及仅对机密性有有限影响（C:L），对完整性和可用性没有影响。目前尚未有已知的在野漏洞利用报告。OpenProject在16.6.3版本中通过纠正访问控制检查解决了此问题，确保会议详情仅对拥有适当项目权限的用户可访问。此漏洞可能导致敏感会议信息的未经授权披露，可能暴露机密项目讨论或计划。

潜在影响

对于欧洲组织而言，此漏洞存在未经授权披露敏感项目会议信息的风险，其中可能包括战略计划、专有数据或个人身份信息。此类暴露可能导致竞争劣势、声誉损害或监管合规问题，特别是在涉及个人数据的情况下（根据GDPR）。由于OpenProject在政府、工程和IT等多个部门使用，在管理敏感项目的地方，其影响可能很重大。该漏洞不影响系统完整性或可用性，因此不太可能导致运营中断。然而，机密性破坏可能助长更有针对性的攻击或内部威胁。依赖16.6.3之前版本OpenProject的组织应将其视为中等风险，并优先进行修复以防止数据泄露。

缓解建议

主要的缓解措施是将OpenProject安装升级到16.6.3或更高版本，其中访问控制缺陷已修复。组织应审计当前用户权限，特别是“查看会议”权限，确保其仅授予需要该权限的可信用户。实施基于角色的访问控制（RBAC）策略，以最小化过度权限。此外，监控访问日志中可能表明利用尝试的异常会议数据访问模式。如果无法立即升级，考虑限制对OpenProject实例的网络访问或隔离敏感项目。定期审查和更新与项目管理工具相关的安全策略。最后，教育用户了解保护会议信息和报告可疑活动的重要性。

受影响国家

德国、法国、英国、荷兰、瑞典

来源：CVE数据库 V5 发布日期：2026年1月10日，星期六