CVE-2026-52785

🟠 Łataj w tym tygodniu

Wstrzyknięcie SQL w OpenProject umożliwia nieautoryzowany dostęp do danych.

CVSS

9.9

EPSS

0.2%

Exploit

none

Vendor

Opis źródłowy (NVD)

OpenProject is open-source, web-based project management software. Prior to 17.3.3 and 17.4.1, there is a SQL injection in timestamps functionality. OpenProject baseline comparison allows callers to request historic work-package attributes using the timestamps parameter. This vulnerability is fixed in 17.3.3 and 17.4.1.

sql-injection Brak patcha

Źródła i daty

Źródło	Wartość
NVD – CVSS	9.9
CISA KEV (aktywnie wykorzystywane)	Nie
FIRST EPSS (prawdopodobieństwo exploita)	0.2%
Opublikowano (NVD)	2026-06-26 20:17:19 UTC
Ostatnia modyfikacja (NVD)	2026-06-29 16:16:40 UTC

Referencje

https://github.com/opf/openproject/security/advisories/GHSA-98vw-2r87-fx2r (security-advisories@github.com)