【高危漏洞】CVE-2026-23625:OpenProject 存储型 XSS 漏洞分析

漏洞概述

OpenProject 是一款开源的、基于 Web 的项目管理软件。在版本 16.3.0 至 16.6.4 中,其“Roadmap”(路线图)视图存在一个存储型跨站脚本(Stored XSS)漏洞。攻击者可利用该漏洞在子项目名称中注入恶意 HTML 或 JavaScript 代码,当其他用户访问受影响的 Roadmap 页面时,恶意代码将被自动执行,从而导致信息泄露、会话劫持等安全风险。

漏洞详情

  • CVE 编号:CVE-2026-23625
  • 漏洞类型:存储型跨站脚本(Stored Cross-Site Scripting, CWE-79)
  • CVSS 评分:8.7(HIGH)
    向量:CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
  • 影响版本:OpenProject 16.3.0 至 16.6.4

影响范围

所有使用 OpenProject 版本 16.3.0 到 16.6.4 的实例均受此漏洞影响,特别是启用了“Roadmap”功能并允许创建子项目的部署环境。由于子项目名称由用户控制且未经过滤即被标记为 .html_safe,因此具备创建或编辑子项目权限的低权限用户即可触发该漏洞。

风险分析

该漏洞属于高危存储型 XSS,攻击者只需诱使管理员或其他用户访问包含恶意子项目名称的 Roadmap 页面,即可在受害者浏览器中执行任意脚本。由于作用域(Scope)发生变化,攻击可能影响到更高权限的用户,进而导致会话令牌窃取、账户接管、敏感数据泄露等严重后果。虽然需要用户交互(UI:R),但结合社会工程手段,实际利用门槛较低。

修复建议

  • 立即升级至 OpenProject 安全版本:16.6.517.0.0,这两个版本已修复该问题。
  • 若暂时无法升级,建议在反向代理(如 Nginx、Apache)或 Web 应用服务器中手动添加响应头:X-Content-Type-Options: nosniff,以缓解部分 XSS 执行风险。

参考链接