Vulnerabilidad en OpenProject (CVE-2026-24775)

OpenProject es un software de gestión de proyectos de código abierto y basado en la web. En el nuevo editor para documentos colaborativos basado en BlockNote, los mantenedores de OpenProject añadieron una extensión personalizada en la versión 17.0.0 de OpenProject que permite mencionar paquetes de trabajo de OpenProject en el documento. Para mostrar los detalles del paquete de trabajo, el editor carga los detalles sobre el paquete de trabajo a través de la API de OpenProject. Para esta llamada a la API, la extensión del editor BlockNote no validó correctamente que el ID del paquete de trabajo dado fuera solo un número. Esto permitió a un atacante generar un documento con enlaces relativos que, al abrirse, podía realizar solicitudes 'GET' arbitrarias a cualquier URL dentro de la instancia de OpenProject. Este problema fue parcheado en la versión 0.0.22 de op-blocknote-extensions, que se envió con OpenProject 17.0.2. Si los usuarios no pueden actualizar inmediatamente a la versión 17.0.2 de OpenProject, los administradores pueden deshabilitar la edición colaborativa de documentos en Ajustes -> Documentos -> Colaboración en tiempo real -> Deshabilitar.