CVE-2026-22603：CWE-307 - OpenProject中不当限制过多身份验证尝试

严重性： 中 类型： 漏洞 CVE编号： CVE-2026-22603

描述

OpenProject是一个开源、基于Web的项目管理软件。在16.6.2版本之前，OpenProject未经认证的密码更改端点(/account/change_password)未受到与常规登录表单相同的暴力破解防护措施的保护。在受影响的版本中，能够猜测或枚举用户ID的攻击者可以针对特定账户发送无限次密码更改请求，而不会触发锁定或其他速率限制控制。这使得攻击者可以对有效账户进行自动化的密码猜测（例如，使用常见密码字典）。成功猜测将导致目标用户的账户完全沦陷，并且根据该用户的角色，可能导致应用程序内的进一步权限提升。此问题已在版本16.6.2中修复。无法升级的用户可以手动应用补丁。

技术总结

CVE-2026-22603是一个被归类为CWE-307（不当限制过多身份验证尝试）的漏洞，影响OpenProject这一开源Web项目管理软件。在16.6.2版本之前，未经认证的密码更改端点(/account/change_password)没有强制执行与登录表单相同的暴力破解保护。这个缺陷允许能够枚举或猜测有效用户ID的攻击者发送无限次密码更改请求，而不会触发锁定或速率限制控制。攻击者可以使用常见密码列表对有效账户进行自动化的密码猜测，可能导致账户完全沦陷。一旦账户被攻陷，攻击者可能会根据用户的角色在应用程序内提升权限，这可能导致更广泛地访问敏感的项目管理数据和管理功能。该漏洞无需身份验证或用户交互，使其更容易通过网络远程利用。CVSS 4.0基础评分为6.9（中危），反映了网络攻击媒介、低复杂性、无需特权或用户交互，以及对机密性和完整性的有限影响。此问题已在OpenProject 16.6.2版本中修复，建议无法立即升级的用户进行手动修补。截至发布日期，尚未有已知的在野利用报告。

潜在影响

对于欧洲组织而言，此漏洞对项目管理数据和用户账户的机密性与完整性构成重大风险。用户账户（尤其是具有管理或提升权限的账户）的沦陷可能导致未经授权访问敏感项目信息、操纵项目时间表以及破坏协作工作流程。这可能影响业务运营、项目交付，并可能暴露知识产权或敏感的客户数据。依赖OpenProject进行关键项目管理功能的组织如果遭到利用，可能会面临运营中断和声誉损害。密码更改端点缺乏暴力破解保护增加了自动化攻击的可能性，尤其是在可能进行用户枚举的环境中。鉴于项目管理工具的协作性质，初始入侵后在应用程序内的横向移动是一个值得关注的问题。负有数据保护（例如GDPR）合规义务的欧洲实体必须考虑由此漏洞导致的数据泄露风险。

缓解建议

主要的缓解措施是将OpenProject安装升级到16.6.2或更高版本，其中漏洞已修复。对于无法立即升级的组织，建议手动应用官方补丁。此外，在/account/change_password端点上实施自定义的速率限制或锁定机制可以降低暴力破解攻击的风险。监控和告警异常的密码更改请求模式或失败尝试的激增有助于早期检测利用尝试。通过网络控制或Web应用程序防火墙（WAF）限制对密码更改端点的访问可以增加一层额外的防御。为用户账户强制执行强密码策略和多因素身份验证（MFA）可以减轻凭据泄露的影响。定期审计OpenProject内的用户角色和权限可降低权限提升的风险。最后，对用户进行有关网络钓鱼和凭据安全的教育是对技术控制措施的补充。

受影响国家

德国、法国、英国、荷兰、瑞典、比利时、意大利

来源： CVE数据库 V5 发布日期： 2026年1月10日 星期六