OpenProject - CVE-2026-34717

Il s'agit d'une vulnérabilité d'injection SQL dans le module de reporting d'OpenProject.

OpenProject est un logiciel open source de gestion de projets en mode web, développé en Ruby on Rails. Il propose la gestion des tâches, la planification de projets, le suivi des coûts et le reporting. Il est utilisé par des organisations publiques et privées comme alternative open source à des outils comme Jira ou Microsoft Project.

L'opérateur =n, défini dans le fichier modules/reporting/lib/report/operator.rb à la ligne 177, incorpore directement la valeur fournie par l'utilisateur dans une clause SQL WHERE sans paramétrage. La fonction parse_number_string, appelée pour traiter l'entrée, se limite à supprimer les délimiteurs de format numérique régional mais ne neutralise pas les métacaractères SQL. La valeur utilisateur est ainsi contrôlée via les paramètres des filtres de rapports de coûts. Tout utilisateur disposant d'un accès aux rapports de coûts peut injecter des instructions SQL arbitraires.

Elle permet à un attaquant distant authentifié avec des privilèges bas de lire, modifier ou supprimer des données arbitraires en base, et de compromettre la disponibilité du serveur, avec changement de périmètre.