Vulnerabilidad en openproject de opf (CVE-2026-32698)

OpenProject es un software de gestión de proyectos de código abierto, basado en la web. Las versiones anteriores a 16.6.9, 17.0.6, 17.1.3 y 17.2.1 son vulnerables a un ataque de inyección SQL a través del nombre de un campo personalizado. Cuando ese campo personalizado se utilizaba en un Informe de Costos, el nombre del campo personalizado se inyectaba en la consulta SQL sin la sanitización adecuada. Esto permitía a un atacante ejecutar comandos SQL arbitrarios durante la generación de un Informe de Costos. Dado que los campos personalizados solo pueden ser generados por usuarios con privilegios de administrador completos, la superficie de ataque se reduce un poco. Junto con otro error en el módulo Repositories, que utilizaba el identificador del proyecto sin sanitización para generar la ruta de extracción para un repositorio git en el sistema de archivos, esto permitía a un atacante extraer un repositorio git a una ruta elegida arbitrariamente en el servidor. Si la extracción se realiza dentro de ciertas rutas dentro de la aplicación OpenProject, tras el siguiente reinicio de la aplicación, esto permite al atacante inyectar código ruby en la aplicación. Dado que el identificador del proyecto no puede ser editado manualmente a ninguna cadena que contenga caracteres especiales como puntos o barras, esto necesita ser cambiado a través de la inyección SQL descrita anteriormente. Las versiones 16.6.9, 17.0.6, 17.1.3 y 17.2.1 corrigen el problema.