https://blog.qife122.com/tags/openproject/ Recent content in OpenProject on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 20:54:45 +0800 https://blog.qife122.com/p/cve-2026-22601-openproject-%E9%82%AE%E4%BB%B6%E5%8A%9F%E8%83%BD%E4%B8%AD%E7%9A%84%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3/ Mon, 12 Jan 2026 20:54:45 +0800 https://blog.qife122.com/p/cve-2026-22601-openproject-%E9%82%AE%E4%BB%B6%E5%8A%9F%E8%83%BD%E4%B8%AD%E7%9A%84%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3/ <h3 id="cve-2026-22601---openproject-邮件功能中的代码执行漏洞">CVE-2026-22601 - OpenProject 邮件功能中的代码执行漏洞</h3> <h4 id="概述">概述</h4> <h4 id="漏洞时间线">漏洞时间线</h4> <h4 id="描述">描述</h4> <p>OpenProject 是一款开源、基于网络的项目管理软件。在 OpenProject 16.6.1 及更低版本中，已注册的管理员可以通过配置 sendmail 二进制路径并发送测试邮件来执行任意命令。此问题已在 16.6.2 版本中得到修复。</p> https://blog.qife122.com/p/openproject%E8%AE%BF%E9%97%AE%E6%8E%A7%E5%88%B6%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90cve-2026-22605%E6%8A%80%E6%9C%AF%E7%BB%86%E8%8A%82%E4%B8%8E%E7%BC%93%E8%A7%A3%E6%96%B9%E6%A1%88/ Mon, 12 Jan 2026 18:30:08 +0800 https://blog.qife122.com/p/openproject%E8%AE%BF%E9%97%AE%E6%8E%A7%E5%88%B6%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90cve-2026-22605%E6%8A%80%E6%9C%AF%E7%BB%86%E8%8A%82%E4%B8%8E%E7%BC%93%E8%A7%A3%E6%96%B9%E6%A1%88/ <h2 id="cve-2026-22605-cwe-284-openproject中的不当访问控制">CVE-2026-22605: CWE-284: OpenProject中的不当访问控制</h2> <p><strong>严重性：中等</strong> <strong>类型：漏洞</strong> <strong>CVE：CVE-2026-22605</strong></p> <p>OpenProject是一款开源、基于网络的项目管理软件。在16.6.3版本之前，OpenProject允许在任何项目中拥有“查看会议”权限的用户，访问属于他们无权访问的项目的会议详情。此问题已在16.6.3版本中修复。</p> https://blog.qife122.com/p/openproject%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%BD%8E%E6%9D%83%E9%99%90%E7%94%A8%E6%88%B7%E5%8F%AF%E6%9E%9A%E4%B8%BE%E8%8E%B7%E5%8F%96%E6%89%80%E6%9C%89%E7%94%A8%E6%88%B7%E5%85%A8%E5%90%8D/ Mon, 12 Jan 2026 12:49:59 +0800 https://blog.qife122.com/p/openproject%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%BD%8E%E6%9D%83%E9%99%90%E7%94%A8%E6%88%B7%E5%8F%AF%E6%9E%9A%E4%B8%BE%E8%8E%B7%E5%8F%96%E6%89%80%E6%9C%89%E7%94%A8%E6%88%B7%E5%85%A8%E5%90%8D/ <h1 id="cve-2026-22602-cwe-200-opf-openproject-中敏感信息向未授权参与者暴露">CVE-2026-22602: CWE-200: opf openproject 中敏感信息向未授权参与者暴露</h1> <p><strong>严重性：低</strong> <strong>类型：漏洞</strong></p> <p><strong>CVE-2026-22602</strong></p> <p>OpenProject 是一款开源、基于网络的项目管理软件。在 16.6.2 版本之前，拥有低权限的登录用户可以查看其他用户的完整姓名。由于用户 ID 是按顺序可预测地分配的（例如，1 到 1000），攻击者可以通过遍历这些 URL 来提取所有用户的完整姓名列表。相同的行为也可以通过 OpenProject API 复现，从而也可以通过 API 自动获取完整姓名。此问题已在版本 16.6.2 中修复。无法升级的用户可以手动应用补丁。</p> https://blog.qife122.com/p/openproject-%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E-cve-2026-22604-%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E4%B8%8E%E4%BF%AE%E5%A4%8D%E6%8C%87%E5%8D%97/ Sun, 11 Jan 2026 12:01:42 +0800 https://blog.qife122.com/p/openproject-%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E-cve-2026-22604-%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E4%B8%8E%E4%BF%AE%E5%A4%8D%E6%8C%87%E5%8D%97/ <h1 id="cve-2026-22604-cwe-200-openproject-中敏感信息暴露给未授权参与者">CVE-2026-22604: CWE-200: OpenProject 中敏感信息暴露给未授权参与者</h1> <p><strong>严重性：中等</strong> <strong>类型：漏洞</strong> <strong>CVE：CVE-2026-22604</strong></p> <p>OpenProject 是一款开源、基于网络的项目管理软件。对于从 11.2.1 版到 16.6.2 版之前的 OpenProject 版本，当向 <code>/account/change_password</code> 端点发送一个 POST 请求，并将任意用户 ID 作为 <code>password_change_user_id</code> 参数时，产生的错误页面会显示所请求用户的用户名。由于此端点设计为无需认证即可调用，这使得攻击者可以枚举 OpenProject 实例中注册的所有账户的用户名。此问题已在版本 16.6.2 中修复。</p>