https://blog.qife122.com/tags/cve-2026-22602/ Recent content in CVE-2026-22602 on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 12:49:59 +0800 https://blog.qife122.com/p/openproject%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%BD%8E%E6%9D%83%E9%99%90%E7%94%A8%E6%88%B7%E5%8F%AF%E6%9E%9A%E4%B8%BE%E8%8E%B7%E5%8F%96%E6%89%80%E6%9C%89%E7%94%A8%E6%88%B7%E5%85%A8%E5%90%8D/ Mon, 12 Jan 2026 12:49:59 +0800 https://blog.qife122.com/p/openproject%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%BD%8E%E6%9D%83%E9%99%90%E7%94%A8%E6%88%B7%E5%8F%AF%E6%9E%9A%E4%B8%BE%E8%8E%B7%E5%8F%96%E6%89%80%E6%9C%89%E7%94%A8%E6%88%B7%E5%85%A8%E5%90%8D/ <h1 id="cve-2026-22602-cwe-200-opf-openproject-中敏感信息向未授权参与者暴露">CVE-2026-22602: CWE-200: opf openproject 中敏感信息向未授权参与者暴露</h1> <p><strong>严重性：低</strong> <strong>类型：漏洞</strong></p> <p><strong>CVE-2026-22602</strong></p> <p>OpenProject 是一款开源、基于网络的项目管理软件。在 16.6.2 版本之前，拥有低权限的登录用户可以查看其他用户的完整姓名。由于用户 ID 是按顺序可预测地分配的（例如，1 到 1000），攻击者可以通过遍历这些 URL 来提取所有用户的完整姓名列表。相同的行为也可以通过 OpenProject API 复现，从而也可以通过 API 自动获取完整姓名。此问题已在版本 16.6.2 中修复。无法升级的用户可以手动应用补丁。</p>