CRITICAL🇬🇧 English

CVE-2026-52782

OpenProject: IDOR umożliwia przejęcie folderów Nextcloud/OneDrive innych projektów

CVSS 9.9v3.1pub. 2026-06-26upd. 2026-06-29

Podatność IDOR (Insecure Direct Object Reference) w OpenProject przed wersjami 17.3.3 i 17.4.1 pozwala administratorowi jednego projektu na przejęcie zarządzanego folderu Nextcloud lub OneDrive należącego do innego projektu. Jest to krytyczna luka, ponieważ skutkuje nieautoryzowanym dostępem do zasobów i modyfikacją uprawnień do cudzych folderów.

Pokaż oryginał (EN)

OpenProject is open-source, web-based project management software. Prior to 17.3.3 and 17.4.1, there is an IDOR through /projects/<A>/settings/project_storages/<A_ps_id> via PATCH parameter "storages_project_storage[project_folder_id]" leads to Access to Unauthorized Resources. A project-admin in one project can hijack the managed Nextcloud or OneDrive folder of another project on the same storage by writing the victim project's project_folder_id into the attacker's Storages::ProjectStorage row. The next managed-folder sync overwrites the ACL on the referenced folder with the attacker project's user list. This vulnerability is fixed in 17.3.3 and 17.4.1.

🤖 Analiza AI
Jak działa

Atakujący będący administratorem projektu wysyła żądanie PATCH na endpoint /projects/<A>/settings/project_storages/<A_ps_id>, manipulując parametrem 'storages_project_storage[project_folder_id]' poprzez podanie identyfikatora folderu należącego do innego projektu. Aplikacja nie weryfikuje prawidłowo, czy wskazany folder należy do projektu atakującego, i zapisuje obcy identyfikator folderu w rekordzie Storages::ProjectStorage atakującego projektu. Podczas kolejnej synchronizacji zarządzanych folderów system nadpisuje listy kontroli dostępu (ACL) na przejętym folderze listą użytkowników projektu atakującego, skutecznie przejmując kontrolę nad cudzym zasobem.

Skutki

Atakujący uzyskuje nieautoryzowany dostęp do folderów Nextcloud lub OneDrive należących do innych projektów oraz może nadpisać ich uprawnienia, co prowadzi do ujawnienia poufnych danych, ich modyfikacji lub utraty dostępu dla prawowitych użytkowników.

Mitygacja

Należy zaktualizować OpenProject do wersji 17.3.3 lub 17.4.1, w których podatność została naprawiona. Szczegółowe informacje dostępne są w komunikacie bezpieczeństwa producenta pod adresem https://github.com/opf/openproject/security/advisories/GHSA-3vpx-94qx-xpw6

Kogo dotyczy

OpenProject w wersjach przed 17.3.3 (gałąź 17.3.x) oraz przed 17.4.1 (gałąź 17.4.x), korzystający z integracji z magazynami plików Nextcloud lub OneDrive

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
IDOR
CWE
Referencje