支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-23646 基础信息
漏洞信息
                                        # OpenProject 用户会话删除漏洞

## 概述
OpenProject 是一款开源的基于 Web 的项目管理软件。在版本 16.6.5 和 17.0.1 之前,用户可通过“账户设置 → 会话”查看并终止自己的活跃会话。系统在删除会话时未正确验证该会话是否属于当前用户,导致存在会话劫持风险。

## 影响版本
- OpenProject < 16.6.5  
- OpenProject < 17.0.1

## 细节
- 会话对象使用递增整数作为 ID。
- 用户可向 `DELETE /my/sessions/:id` 接口发送请求删除指定 ID 的会话。
- 服务端未验证目标会话是否属于当前用户。
- 攻击者可通过枚举 ID 主动终止其他用户的会话,导致其被强制注销。

## 影响
- 可导致其他用户非授权地被注销(拒绝服务类影响)。
- 不涉及敏感信息泄露(如浏览器标识、IP 地址等未被访问)。
- 该漏洞无需任何权限即可利用,无可临时禁用的缓解措施。
- 已在 16.6.5 和 17.0.1 版本中修复。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
OpenProject users can delete other user's session, causing them to be logged out
来源:美国国家漏洞数据库 NVD
漏洞描述信息
OpenProject is an open-source, web-based project management software. Users of OpenProject versions prior to 16.6.5 and 17.0.1 have the ability to view and end their active sessions via Account Settings → Sessions. When deleting a session, it was not properly checked if the session belongs to the user. As the ID that is used to identify these session objects use incremental integers, users could iterate requests using `DELETE /my/sessions/:id` and thus unauthenticate other users. Users did not have access to any sensitive information (like browser identifier, IP addresses, etc) of other users that are stored in the session. The problem was patched in OpenProject versions 16.6.5 and 17.0.1. No known workarounds are available as this does not require any permissions or other that can temporarily be disabled.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
对错误会话暴露数据元素
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-23646 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-23646 的情报信息

  • 标题: Release OpenProject 17.0.1 · opf/openproject · GitHub -- 🔗来源链接

    标签:x_refsource_MISC

    神龙速读:
                                            ### OpenProject 17.0.1 关键漏洞信息

- **发布日期**: 2026-01-16
- **发布者**: oliverguenther 
- **自上次发布后的提交**: 619 个提交

#### Bug 修复和变更:
- **排序问题**: BlockNote 中的工作包按 ID 排序而不是最后更新的时间 [#67536]
- **属性验证**: POST /api/v3/projects 请求中未强制执行所需项目属性 [#70107]
- **方法错误**: Storages::Admin::AccessManagementController#update 中的 NoMethodError [#70492]
- **表单配置验证**: 工作包类型表单配置未正确验证企业计划 [#70503]
- **PDF 导出问题**: 使用自定义上传的标志/字体在某些存储配置 (S3) 下导出 PDF 失败 [#70560]
    Release OpenProject 17.0.1 · opf/openproject · GitHub

  • 标题: Release OpenProject 16.6.5 · opf/openproject · GitHub -- 🔗来源链接

    标签:x_refsource_MISC

    神龙速读:
                                            # 关键信息

## 漏洞相关

- **Bugfix**: 添加了默认的框架头,这些头在 `secure_headers` 中之前被移除了。 ([#70384](#70384))

## 发布信息

- **发布版本**: OpenProject 16.6.5
- **发布日期**: 2026-01-16
- **更新推荐**: 建议更新到最新版本以获取多个bug修复。
    Release OpenProject 16.6.5 · opf/openproject · GitHub

  • 标题: Users can delete other user's session, causing them to be logged out · Advisory · opf/openproject · GitHub -- 🔗来源链接

    标签:x_refsource_CONFIRM

    神龙速读:
                                            ### 关键信息概要

#### 漏洞描述
用户在OpenProject中可以删除其他用户的会话,导致他们被注销。

#### 影响
OpenProject的用户能够查看和结束自己的活动会话。当删除会话时,系统没有正确检查会话是否属于该用户。由于会话对象使用的ID是递增的整数,用户可以迭代请求`DELETE /my/sessions/:id`,导致其他用户被取消认证。

#### 严重性
- **CVSS v3严重性分数**: 6.5/10
- **严重性等级**: 中等

#### CVSS v3基本度量
- **攻击向量**: 网络
- **攻击复杂性**: 低
- **所需权限**: 低
- **用户交互**: 无
- **范围**: 未改变
- **机密性**: 无
- **完整性**: 无
- **可用性**: 高

#### 漏洞状态
- **CVE ID**: CVE-2026-23646

#### 影响的版本
- <= 16.6.4, 17.0.0

#### 修复版本
- 16.6.5, 17.0.1

#### 绕过方法
建议用户尽快更新。

#### 致谢
该漏洞通过YesWeHack赏金计划由Scott Curtis (syndrome_impostor)和Jason Beck披露。
    Users can delete other user's session, causing them to be logged out · Advisory · opf/openproject · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2026-23646
四、漏洞 CVE-2026-23646 的评论

暂无评论

发表评论