Vulnerabilidad en openproject de opf (CVE-2026-32703)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
18/03/2026
Última modificación:
19/03/2026
Descripción
OpenProject es un software de gestión de proyectos de código abierto y basado en la web. En versiones anteriores a la 16.6.9, 17.0.6, 17.1.3 y 17.2.1, el módulo de Repositorios no escapaba correctamente los nombres de archivo mostrados desde los repositorios. Esto permitía a un atacante con acceso de push al repositorio crear commits con nombres de archivo que incluían código HTML que se inyectaba en la página sin la sanitización adecuada. Esto permitía un ataque XSS persistente contra todos los miembros de este proyecto que accedían a la página de repositorios para mostrar un changeset donde el archivo creado maliciosamente había sido eliminado. Las versiones 16.6.9, 17.0.6, 17.1.3 y 17.2.1 corrigen el problema.
Impacto
Puntuación base 3.x
9.00
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openproject:openproject:*:*:*:*:*:*:*:* | 16.6.9 (excluyendo) | |
| cpe:2.3:a:openproject:openproject:*:*:*:*:*:*:*:* | 17.0.0 (incluyendo) | 17.0.6 (excluyendo) |
| cpe:2.3:a:openproject:openproject:*:*:*:*:*:*:*:* | 17.1.0 (incluyendo) | 17.1.3 (excluyendo) |
| cpe:2.3:a:openproject:openproject:17.2.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página