https://blog.qife122.com/tags/cve-2026-22603/ Recent content in CVE-2026-22603 on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 16:35:57 +0800 https://blog.qife122.com/p/openproject%E8%AE%A4%E8%AF%81%E7%BC%BA%E9%99%B7%E6%BC%8F%E6%B4%9Ecve-2026-22603%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E5%AF%86%E7%A0%81%E9%87%8D%E7%BD%AE%E7%AB%AF%E7%82%B9%E7%BC%BA%E4%B9%8F%E6%9A%B4%E5%8A%9B%E7%A0%B4%E8%A7%A3%E9%98%B2%E6%8A%A4/ Mon, 12 Jan 2026 16:35:57 +0800 https://blog.qife122.com/p/openproject%E8%AE%A4%E8%AF%81%E7%BC%BA%E9%99%B7%E6%BC%8F%E6%B4%9Ecve-2026-22603%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E5%AF%86%E7%A0%81%E9%87%8D%E7%BD%AE%E7%AB%AF%E7%82%B9%E7%BC%BA%E4%B9%8F%E6%9A%B4%E5%8A%9B%E7%A0%B4%E8%A7%A3%E9%98%B2%E6%8A%A4/ <h3 id="cve-2026-22603-cwe-307-opf-openproject-中不当限制过多的身份验证尝试">CVE-2026-22603: CWE-307: opf openproject 中不当限制过多的身份验证尝试</h3> <p><strong>严重性</strong>: 中 <strong>类型</strong>: 漏洞 <strong>CVE</strong>: CVE-2026-22603</p> <p>OpenProject 是一款开源、基于网络的项目管理软件。在 16.6.2 版本之前，OpenProject 的未认证密码更改端点 (<code>/account/change_password</code>) 未受到与普通登录表单相同的暴力破解保护措施的保护。在受影响版本中，攻击者若能够猜测或枚举用户ID，则可以针对给定账户发送无限次的密码更改请求，而不会触发锁定或其他速率限制控制。这允许针对有效账户进行自动化的密码猜测（例如，使用常见密码字典）。成功的猜测将导致目标用户的账户完全被接管，并且根据该用户的角色，可能导致应用程序内部的进一步权限提升。此问题已在 16.6.2 版本中修复。无法升级的用户可以手动应用补丁。</p>