CVE-2026-22601: CWE-77 - OpenProject 中的命令注入漏洞

严重性：高 类型：漏洞 CVE ID：CVE-2026-22601

OpenProject 是一款开源、基于网络的项目管理软件。在 OpenProject 16.6.1 及更低版本中，已注册的管理员可以通过配置发送邮件（sendmail）二进制文件路径并发送测试邮件来执行任意命令。此问题已在 16.6.2 版本中修复。

技术分析总结

CVE-2026-22601 是在 OpenProject 中发现的一个命令注入漏洞。OpenProject 是一款广泛用于协作项目跟踪和文档记录的开源、基于网络的项目管理工具。该漏洞存在于 16.6.1 及更早版本中，已注册的管理员可以利用配置 sendmail 二进制路径时对特殊字符的不当处理。通过设置恶意的 sendmail 路径并触发测试邮件功能，攻击者可以在底层服务器上执行任意系统命令。

该漏洞被归类为 CWE-77，表明命令输入未经妥善清理，从而导致注入攻击。该漏洞无需用户交互，只要攻击者拥有管理员凭证，即可通过网络远程利用。CVSS v4.0 评分为 8.6 分，反映了该漏洞对机密性、完整性和可用性的高度影响，其攻击向量为网络，攻击复杂度低，除了管理员访问权限外无需其他特权。该漏洞已在 OpenProject 16.6.2 版本中得到解决，该版本通过妥善清理输入来防止命令注入。目前尚未有公开的利用报告，但由于可能导致严重的系统沦陷，对于依赖 OpenProject 进行项目管理的组织来说，这是一个关键问题。

潜在影响

对于欧洲的组织而言，此漏洞带来了重大风险，因为通过命令注入可能导致系统完全沦陷。获得管理员访问权限的攻击者可以执行任意命令，可能导致数据盗窃、服务中断或在网络内横向移动。将 OpenProject 用于敏感项目管理的组织（尤其是在金融、政府和关键基础设施等领域）可能面临机密性破坏和运营停机的风险。该漏洞还可能被用来部署勒索软件或其他恶意软件，从而放大影响。由于 OpenProject 通常部署在协作环境中，漏洞利用可能同时影响多个团队和项目。目前缺乏已知的野外利用降低了即时风险，但并不减少修复的紧迫性。具有暴露的管理界面或较弱访问控制的欧洲实体尤其脆弱。

缓解建议

组织应立即将 OpenProject 安装升级到 16.6.2 或更高版本，该版本已修复此漏洞。在完成修补之前，应仅限受信任人员访问管理权限，并实施强身份验证机制，如多因素认证（MFA）。应采用网络分段来限制对 OpenProject 管理界面的访问，最好将其限制在内部网络或 VPN 连接中。定期审计和监控与 sendmail 配置更改或测试邮件操作相关的异常活动日志。尽可能采用应用级输入验证和清理来检测异常的命令输入。对管理员进行安全意识培训，以识别和报告可疑行为。此外，考虑实施基于主机的入侵检测系统（HIDS）来检测命令注入尝试，并维护最新的备份，以便在系统遭破坏时能够恢复。

受影响国家

德国、法国、英国、荷兰、瑞典、意大利、西班牙

来源： CVE 数据库 V5 发布日期： 2026年1月10日 星期六

数据版本： 5.2 CVSS 版本： 4.0 状态： 已发布