关键信息总结 漏洞概述 标题: Forced Actions, Content Spoofing, and Persistent DoS via ID Manipulation in OpenProject Blocknote Editor Extension 严重性: Moderate (6.3/10) CVE ID: CVE-2026-24775 影响范围 受影响版本: 17.0.0, 17.0.1 已修复版本: 17.0.2 漏洞描述 在基于BlockNote的新文档编辑器中,添加了一个自定义扩展,允许在文档中提及OpenProject工作包。为了显示工作包详情,编辑器通过OpenProject API加载工作包详情。然而,BlockNote编辑器的扩展未正确验证给定的工作包ID,导致攻击者能够生成具有相对链接的文档,在文档打开时可以向OpenProject实例内的任意URL发起任意GET请求。 修复措施 已修复版本: OpenProject 17.0.2 临时解决方法: 如果用户不能立即升级到17.0.2版本,管理员可禁用实时协作功能。 致谢 漏洞被负责任地通过OpenProject的YesWeHack赏金计划披露,由Scott Curtis(syndrome_impostor)提交。感谢漏洞的负责任披露和合作报告。 CVSS v3 基础指标 攻击向量: Network 攻击复杂度: Low 所需权限: Low 用户交互: Required 影响范围: Unchanged 机密性影响: None 完整性影响: Low 可用性影响: High