【中危漏洞】CVE-2026-23646:OpenProject 会话删除功能存在越权风险
漏洞概述
OpenProject 是一款开源的基于 Web 的项目管理软件。在受影响版本中,用户可通过“账户设置 → 会话”页面查看并结束自己的活跃会话。然而,在删除会话时,系统未正确验证该会话是否属于当前用户。由于会话 ID 使用递增整数生成,攻击者可遍历 DELETE /my/sessions/:id 请求,强制注销其他用户的会话,造成拒绝服务。该漏洞已在 OpenProject 16.6.5 和 17.0.1 版本中修复。
漏洞详情
- CVE 编号:CVE-2026-23646
- 漏洞类型:权限验证缺失(CWE-488)
- CVSS 评分:6.5(中危)
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H - 影响版本:OpenProject < 16.6.5 及 17.0.0
影响范围
所有使用 OpenProject 版本低于 16.6.5(含 16.x 系列)或 17.0.0 的实例均受此漏洞影响。攻击者只需拥有一个有效账户(低权限用户即可),即可通过构造请求强制终止其他用户的登录会话。
风险分析
该漏洞允许低权限用户通过会话 ID 遍历,对其他用户发起拒绝服务攻击(会话强制注销),影响系统的可用性。虽然攻击者无法获取其他用户的敏感信息(如 IP 地址、浏览器标识等),但频繁的会话中断可能干扰正常业务操作,尤其在协作密集型项目管理场景中影响显著。
修复建议
- 立即升级 OpenProject 至安全版本 16.6.5 或 17.0.1 及以上。
- 目前无已知临时缓解措施,因漏洞利用不依赖可配置权限,建议尽快完成版本升级。
