关键漏洞信息 安全修复 GHSA-q523-c695-h3hp - 存储型HTML注入在时间跟踪 - OpenProject 17.0.2版本的时间跟踪功能存在HTML注入漏洞。由于未对HTML标签进行转义,具有管理员权限的攻击者可通过包含HTML标签的工作包名称创建时间跟踪项。 - 报告者: Nguyen Truong Son - 更多信息: GitHub Advisory GHSA-q523-c695-h3hp GHSA-x37c-hcg5-r5m7 - OpenProject 仓库变更点远程代码执行 - 在OpenProject的仓库变更点端点 ( ) 渲染“最新变更”视图时,存在任意文件写入漏洞。 - 攻击者通过构造特殊的 值(例如 ),可注入 命令行参数。当OpenProject执行 命令时,Git会将攻击者控制的 值解析为选项,将输出写入任意路径。 - 结果,具有 权限的用户可创建或覆盖OpenProject权限下的文件。攻击者可通过定制提交上传有效shell脚本,导致远程代码执行(RCE)。 - 报告者: sam91281,通过YesWeHack.com的OpenProject漏洞赏金计划 - 更多信息: GitHub Advisory GHSA-x37c-hcg5-r5m7 其他信息 OpenProject 16.6.7 在2026-02-06发布,包含多个bug修复和推荐升级到最新版本。 两名漏洞的细节及GitHub顾问链接已提供。 触发漏洞的条件及攻击途径被清晰地描述,用于防范措施。