CVE-2026-22604: CWE-200: OpenProject 中敏感信息暴露给未授权参与者

严重性：中等 类型：漏洞 CVE：CVE-2026-22604

OpenProject 是一款开源、基于网络的项目管理软件。对于从 11.2.1 版到 16.6.2 版之前的 OpenProject 版本，当向 /account/change_password 端点发送一个 POST 请求，并将任意用户 ID 作为 password_change_user_id 参数时，产生的错误页面会显示所请求用户的用户名。由于此端点设计为无需认证即可调用，这使得攻击者可以枚举 OpenProject 实例中注册的所有账户的用户名。此问题已在版本 16.6.2 中修复。

AI 分析技术摘要

CVE-2026-22604 是一个信息泄露漏洞，归类于 CWE-200，影响 OpenProject 这款开源、基于网络的项目管理软件。该问题存在于 11.2.1 版至 16.6.2 版（不含）之间的版本。

该漏洞的产生是因为 /account/change_password 端点无需认证即可访问，并且接受包含 password_change_user_id 参数的 POST 请求。当攻击者提交一个任意的用户 ID 时，产生的错误页面会显示与该 ID 关联的用户名。此行为允许未经身份验证的攻击者枚举 OpenProject 实例上注册的所有用户名。

用户名枚举是一个关键的侦察步骤，可以促进进一步的攻击，例如凭据填充、暴力密码攻击或社会工程学攻击。该漏洞不需要任何特权或用户交互，使其更容易被远程利用。

CVSS 4.0 基础评分为 6.9（中等严重性），反映了网络攻击向量、低复杂度、无需特权、无需用户交互以及仅限于机密性的有限影响。

该漏洞于 2026 年 1 月 10 日公开披露，并已在 OpenProject 版本 16.6.2 中修复。截至目前，尚未有已知的在野利用报告。运行受影响版本的组织应优先升级到已修复的版本，以防止潜在的利用。

潜在影响

对于欧洲的组织，此漏洞主要对机密性构成中等风险。有效用户名的暴露可以使攻击者实施有针对性的攻击，例如网络钓鱼活动、凭据填充或暴力密码尝试，如果存在弱密码或重复使用的密码，可能导致未授权访问。

如果攻击者利用用户名枚举来入侵账户，那些处理敏感项目数据的行业（如政府、金融、医疗保健和关键基础设施）的组织可能面临更高的风险。

虽然该漏洞不直接影响系统完整性或可用性，但账户被入侵的间接后果可能很严重，包括数据泄露和运营中断。

由于 OpenProject 在欧洲广泛用于项目管理，特别是在公共部门和企业环境中，受影响系统的范围很广。及时打补丁对于缓解这些风险至关重要。无需身份验证要求和易于利用的特点增加了攻击者扫描易受攻击实例进行侦察活动的可能性。

缓解建议

欧洲组织应立即将 OpenProject 安装升级到 16.6.2 或更高版本，此版本已修复该漏洞。如果无法立即升级，组织应实施访问控制以限制对 /account/change_password 端点的未经身份验证的访问，例如使用具有自定义规则的 Web 应用防火墙（WAF）来阻止包含 password_change_user_id 参数的可疑 POST 请求。

应加强对此端点访问的监控和日志记录，以检测枚举尝试。此外，即使用户名暴露，组织也应强制执行强密码策略和多因素身份认证（MFA），以降低账户被入侵的风险。

鉴于用户名泄露带来的风险增加，安全意识培训应包括网络钓鱼和社会工程学防御。定期漏洞扫描和渗透测试有助于识别任何残留的暴露风险。最后，组织应维护其环境中部署的 OpenProject 版本清单，以确保及时的补丁管理。

受影响国家

德国、法国、英国、荷兰、瑞典、比利时、意大利