Vulnerabilidad en Hocuspocus Synchronization Server (CVE-2026-24772)

OpenProject es un software de gestión de proyectos de código abierto y basado en la web. Para habilitar la colaboración en tiempo real en documentos, OpenProject 17.0 introdujo un servidor de sincronización. El backend de OpenProject genera un token de autenticación que actualmente es válido por 24 horas, lo cifra con un secreto compartido conocido solo por el servidor de sincronización. El frontend entrega este token cifrado y la URL del backend al servidor de sincronización para verificar la capacidad del usuario para trabajar en el documento y realizar guardados intermitentes durante la edición. El servidor de sincronización no valida correctamente la URL del backend y envía una solicitud con el token de autenticación descifrado al endpoint que se le dio al servidor. Un atacante podría usar esta vulnerabilidad para descifrar un token que interceptó por otros medios para obtener un token de acceso para interactuar con OpenProject en nombre de la víctima. Esta vulnerabilidad fue introducida con OpenProject 17.0.0 y fue corregida en 17.0.2. Como solución alternativa, deshabilite la función de colaboración a través de Configuración -> Documentos -> Colaboración en tiempo real -> Deshabilitar. Además, el contenedor 'hocuspocus' también debería deshabilitarse.