Vulnerabilidad en openproject de opf (CVE-2026-23625)

OpenProject es un software de gestión de proyectos de código abierto y basado en la web. Las versiones 16.3.0 a la 16.6.4 están afectadas por una vulnerabilidad de cross-site scripting almacenado en la vista de Hoja de Ruta. La vista de hoja de ruta de OpenProject renderiza la lista de 'Paquetes de trabajo relacionados' para cada versión. Cuando una versión contiene paquetes de trabajo de un proyecto diferente (por ejemplo, un subproyecto), el ayudante link_to_work_package antepone package.project.to_s al enlace y devuelve la cadena completa con .html_safe. Debido a que los nombres de los proyectos son controlados por el usuario y no se produce ningún escape antes de llamar a html_safe, cualquier HTML colocado en el nombre de un subproyecto se inyecta textualmente en la página. El problema subyacente se mitiga en las versiones 16.6.5 y 17.0.0 al establecer un encabezado 'X-Content-Type-Options: nosniff', que estuvo en su lugar hasta una refactorización a la política de seguridad de contenido estándar de Rails, que no aplicó correctamente este encabezado en la nueva configuración desde OpenProject 16.3.0. Aquellos que no puedan actualizar sus instalaciones deben asegurarse de añadir un encabezado 'X-Content-Type-Options: nosniff' en su servidor de aplicaciones web de proxy.