CVE-2026-22600 — 神龙十问 AI 深度分析摘要

🚨 **本质**：OpenProject 工作包 PDF 导出功能存在 **本地文件读取 (LFR)** 漏洞。 💥 **后果**：攻击者通过特制 SVG 文件，诱导后端图像处理引擎读取服务器上的 **任意本地文件**，导致严重的 **信息泄露**。

🔍 **CWE**：CWE-200 (信息泄露)。 🐛 **缺陷点**：后端 **图像处理引擎** 在处理上传的 SVG 文件时，未对文件路径或内容进行严格校验，导致可被利用进行本地文件读取。

🎯 **产品**：OpenProject (基于 Web 的项目管理软件)。 📦 **版本**：**16.6.4 之前** 的所有版本均受影响。

🕵️ **权限**：需要 **低权限** (PR:L) 即可触发。 📂 **数据**：可读取服务器 **任意本地文件** (C:H)，可能导致敏感配置、代码或用户数据泄露。

🚪 **门槛**：**低**。 ✅ **认证**：需要 **登录** (PR:L)。 🖱️ **交互**：无需用户交互 (UI:N)，只需上传特制 SVG 即可触发。

📜 **Exp**：当前数据中 **无现成 PoC** (pocs: [])。 🌍 **在野**：暂无在野利用报告，但漏洞原理清晰，利用风险高。

🔎 **自查**：检查 OpenProject 版本是否 **< 16.6.4**。 📡 **扫描**：关注 PDF 导出功能及 SVG 上传接口的异常行为，检测是否存在本地文件读取尝试。

🛡️ **补丁**：**已修复**。 📅 **版本**：官方已在 **v16.6.4** 中修复此漏洞。 🔗 **参考**：[GitHub Advisory](https://github.com/opf/openproject/security/advisories/GHSA-m8f2-cwpq-vvhh)。

⚠️ **临时规避**：若无法立即升级，建议 **禁用 SVG 上传** 或 **限制 PDF 导出功能**。 🚫 **配置**：严格校验上传文件的类型和内容，防止恶意 SVG 注入。

🔥 **优先级**：**高**。 📊 **CVSS**：3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L。 💡 **建议**：立即升级至 **v16.6.4** 或更高版本，防止敏感数据泄露。