CVE-2026-32698 — 神龙十问 AI 深度分析摘要

🚨 **本质**：OpenProject 存在 **SQL注入** 漏洞。 💥 **后果**：攻击者可利用 **自定义字段名称** 未清理的缺陷，执行恶意 SQL，进而实现 **任意路径检出 Git 仓库** 及 **注入 Ruby 代码**，导致服务器被完全控制。

🔍 **CWE**：CWE-89 (SQL注入)。 📍 **缺陷点**：**自定义字段名称** 在构建 SQL 查询时，**未进行正确的清理/转义**，直接拼接入查询语句中。

🎯 **受影响产品**：OpenProject (项目管理系统)。 📦 **受影响版本**： - 16.6.9 之前 - 17.0.6 之前 - 17.1.3 之前 - 17.2.1 之前

🕵️ **黑客能力**： 1. **任意代码执行**：注入 Ruby 代码。 2. **文件系统操作**：在服务器任意路径检出 Git 仓库。 3. **数据窃取/篡改**：通过 SQL 注入获取或修改数据库内容。 4. **权限提升**：可能获得服务器最高权限。

🔐 **利用门槛**：**中等**。 - **网络访问**：AV:N (网络可攻击)。 - **认证要求**：PR:H (需要**高权限认证**，即需要登录账号)。 - **交互**：UI:N (无需用户交互)。 - **复杂度**：AC:L (攻击复杂度低)。

📦 **Exp/PoC**：数据中 **pocs 为空**，暂无公开现成 PoC。 🌍 **在野利用**：未提及。但鉴于漏洞原理清晰（SQL注入），利用工具可能已存在或易于编写。

🔎 **自查方法**： 1. **版本检查**：确认 OpenProject 版本是否在受影响列表中（<16.6.9, <17.0.6, <17.1.3, <17.2.1）。 2. **日志监控**：监控 SQL 查询日志中是否有异常的自定义字段名注入特征。 3. **扫描器**：使用支持 CVE-2026-32698 检测的漏洞扫描器进行扫描。

🛡️ **官方修复**：是。 📅 **发布日期**：2026-03-18。 🔗 **参考链接**：[GitHub Security Advisory](https://github.com/opf/openproject/security/advisories/GHSA-jqhf-rf9x-9rhx)。 ✅ **建议**：立即升级至上述列出的最新安全版本。

🚧 **临时规避**： 1. **升级**：最优先方案。 2. **权限控制**：严格限制能创建/修改自定义字段的用户权限。 3. **WAF 规则**：部署 WAF 拦截针对自定义字段参数的 SQL 注入特征。 4. **网络隔离**：限制对 OpenProject 的管理接口访问。

⚡ **优先级**：**高 (Critical)**。 💡 **理由**：CVSS 评分极高 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)，虽需认证，但一旦利用可导致 **完全控制服务器** (任意代码执行)。建议 **立即修复**。