【中危漏洞】CVE-2026-23721:OpenProject 权限绕过导致用户组信息泄露
漏洞概述
OpenProject 是一款开源的基于 Web 的项目管理软件。在使用用户组(Groups)进行权限管理时,预期只有具备“查看成员”(View Members)权限的用户才能看到特定项目中该组的成员信息。然而,在受影响版本中,由于权限检查逻辑存在缺陷,攻击者只需在任意一个项目中拥有“查看成员”权限,即可枚举系统中所有用户组,并查看各组包含的用户列表,造成敏感信息泄露。
漏洞详情
- CVE 编号:CVE-2026-23721
- 漏洞类型:权限绕过(CWE-862:Missing Authorization)
- CVSS 评分:4.3(中危),向量:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
- 影响版本:OpenProject < 16.6.5 及 < 17.0.1
影响范围
该漏洞影响 OpenProject 16.6.5 之前的所有 16.x 版本,以及 17.0.1 之前的所有 17.x 版本。任何部署了上述版本且启用了用户组功能的 OpenProject 实例均可能受到此漏洞影响。
风险分析
攻击者若在任一项目中拥有“查看成员”权限(该权限通常授予普通项目成员),即可通过 API 或界面枚举系统内所有用户组及其成员信息。这可能导致内部组织结构、人员分配等敏感信息泄露,为后续社会工程攻击或权限提升提供情报支持。尽管该漏洞不直接导致远程代码执行或数据篡改,但其信息泄露风险仍需重视。
修复建议
- 立即升级 OpenProject 至安全版本:16.6.5 或 17.0.1 及以上。
- 目前无已知有效临时缓解措施,建议尽快完成版本升级以消除风险。
