OpenProject users with "View Members" permission in any project can view all Group memberships 漏洞信息(CVE-2026-23721)

一、漏洞 CVE-2026-23721 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞信息

                                        # OpenProject 视图权限组成员漏洞

## 概述
OpenProject 是一款开源的基于 Web 的项目管理软件。在使用组（Groups）管理用户时，存在权限校验缺陷，导致本应受限的组成员信息被越权访问。

## 影响版本
- OpenProject < 17.0.1  
- OpenProject < 16.6.5

## 细节
当用户在任意项目中拥有“查看成员”（View Members）权限时，由于权限检查失效，该用户可枚举系统中所有用户组，并查看各组包含的成员用户，即使这些组所属的项目未授权其访问。

## 影响
攻击者可利用此漏洞枚举所有用户组并获取成员信息，造成敏感信息泄露。该漏洞已在 17.0.1 和 16.6.5 版本中修复，目前无已知有效绕过方案。

神龙判断

是否为 Web 类漏洞： 未知

判断理由：

N/A

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

OpenProject users with "View Members" permission in any project can view all Group memberships

来源：美国国家漏洞数据库 NVD

漏洞描述信息

OpenProject is an open-source, web-based project management software. When using groups in OpenProject to manage users, the group members should only be visible to users that have the View Members permission in any project that the group is also a member of. Prior to versions 17.0.1 and 16.6.5, due to a failed permission check, if a user had the View Members permission in any project, they could enumerate all Groups and view which other users are part of the group. The issue has been fixed in OpenProject 17.0.1 and 16.6.5. No known workarounds are available.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

授权机制缺失

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2026-23721 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2026-23721 的情报信息

标题： Users with "View Members" permission in any project can view all Group memberships · Advisory · opf/openproject · GitHub -- 🔗来源链接

标签：x_refsource_CONFIRM

神龙速读：

                                        从网页截图中获取到的关于漏洞的关键信息如下：

- **漏洞标题**: Users with "View Members" permission in any project can view all Group memberships
- **严重性**: Moderate (中等)
- **CVE ID**: CVE-2026-23721

### **影响版本**
- Affected versions: <= 16.6.4, 17.0.0

### **修复版本**
- Patched versions: 16.6.5, 17.0.1

### **漏洞描述**
- When using groups in OpenProject to manage users, the group members should only be visible to users that have the View Members permission in any project that the group is also a member of. 
  - 由于权限检查失败，拥有“查看成员”权限的用户可以枚举所有组并查看其他用户所属的组。

### **修复措施**
- The issue has been fixed in OpenProject 17.0.1 and 16.6.5.

### **CVE v3 基础指标**
- Attack vector: Network
- Attack complexity: Low
- Privileges required: Low
- User interaction: None
- Scope: Unchanged
- Confidentiality: Low
- Integrity: None
- Availability: None

Users with "View Members" permission in any project can view all Group memberships · Advisory · opf/openproject · GitHub

https://nvd.nist.gov/vuln/detail/CVE-2026-23721

四、漏洞 CVE-2026-23721 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2026-23721 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2026-23721 的公开POC

三、漏洞 CVE-2026-23721 的情报信息

四、漏洞 CVE-2026-23721 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2026-23721 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2026-23721 的公开POC

三、漏洞 CVE-2026-23721 的情报信息

四、漏洞 CVE-2026-23721 的评论

发表评论

一、漏洞 CVE-2026-23721 基础信息