CRITICAL🇬🇧 English

CVE-2026-46386

OpenProject: RCE przez deserializację cookie z domyślnym kluczem SECRET_KEY_BASE

CVSS 9.9v3.1pub. 2026-06-26upd. 2026-06-29

Oficjalny obraz Docker OpenProject zawiera domyślny, znany klucz SECRET_KEY_BASE (OVERWRITE_ME), co w połączeniu z deserializacją Marshal umożliwia każdemu zalogowanemu użytkownikowi wykonanie dowolnego kodu na serwerze. Podatność jest krytyczna ze względu na deterministyczny i łatwy do wykorzystania mechanizm ataku.

Pokaż oryginał (EN)

OpenProject is open-source, web-based project management software. Prior to , the official openproject/openproject Docker image ships ENV SECRET_KEY_BASE=OVERWRITE_ME as the default Rails master key. Combined with cookies_serializer = :marshal, this gives any logged-in user a deterministic Marshal-deserialization path reachable via the /my/two_factor_devices cookie reader This vulnerability is fixed in .

🤖 Analiza AI
Jak działa

Oficjalny obraz Docker openproject/openproject zawiera hardkodowany klucz środowiskowy SECRET_KEY_BASE ustawiony na wartość 'OVERWRITE_ME', który pełni rolę głównego klucza Rails (master key). Ponieważ aplikacja używa serializatora cookies opartego na Marshal (cookies_serializer = :marshal), atakujący znający klucz podpisujący może sfałszować podpisane cookie i dostarczyć złośliwy, spreparowany obiekt Marshal. Ścieżka ataku prowadzi przez endpoint /my/two_factor_devices, gdzie odczytywane jest podatne cookie, co skutkuje wykonaniem niezaufanego kodu po stronie serwera podczas deserializacji.

Skutki

Zalogowany użytkownik może uzyskać pełne zdalne wykonanie kodu (RCE) na serwerze aplikacji, co daje mu dostęp do wszystkich danych, możliwość eskalacji uprawnień oraz kompromitację całego środowiska kontenerowego.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://github.com/opf/openproject/security/advisories/GHSA-r85r-gjq2-f83r). Niezależnie od aktualizacji należy NATYCHMIAST nadpisać zmienną środowiskową SECRET_KEY_BASE własną, losową, unikalną wartością w konfiguracji Dockera. Wdrożenia z domyślną wartością 'OVERWRITE_ME' należy traktować jako skompromitowane.

Kogo dotyczy

Oficjalny obraz Docker openproject/openproject we wszystkich wersjach przed wersją wskazaną w referencjach producenta (wersja poprawiona nie została podana w opisie); dotyczy instalacji, w których klucz SECRET_KEY_BASE nie został nadpisany wartością własną.

Uwagi

Podatność wynika ze zbiegu czterech problemów: hardkodowanego klucza (CWE-798, CWE-1392), domyślnej niezabezpieczonej konfiguracji (CWE-1188) oraz niebezpiecznej deserializacji Marshal (CWE-502). Klucz SECRET_KEY_BASE jest publicznie znany z obrazu Docker, co czyni exploit deterministycznym dla każdego zalogowanego użytkownika.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DeserializationContainer
CWE
Referencje
CVE-2026-46386 — OpenProject: RCE przez deserializację cookie z domyślnym kluczem SECRET_KEY_BASE — CRITICAL 9.9 | CVEbaza.pl