Kritische XSS-Lücke in OpenProject vor Version 16.6.9, 17.0.6, 17.1.3 und 17.2.1 (CVE-2026-32703)

Zusammenfassung

In älteren Versionen von OpenProject erlaubte eine Sicherheitslücke in der Repositories-Komponente Angreifern mit Schreibrechten, manipulierte Dateinamen mit HTML-Code einzuschleusen. Dadurch konnten persistente XSS-Angriffe auf alle Projektmitglieder ausgeführt werden, die die Repositories-Seite aufrufen. Betroffene Nutzer sollten umgehend auf eine aktuellere, gepatcht Version von OpenProject updaten.

Opf - Openproject - CRITICAL - CVE-2026-32703. In OpenProject versions prior to 16.6.9, 17.0.6, 17.1.3, and 17.2.1, a flaw in the Repositories module's handling of filenames allows attackers with push access to create deceptive commits with HTML code. This lack of proper filename sanitization can lead to persistent XSS attacks, affecting all project members who view the repositories page. Malicious codes incorporated into filenames can execute and compromise user security when the changeset containing such a file is accessed.