| Title | OpenProjectにおける情報漏えいに関する脆弱性 |
|---|---|
| Summary | OpenProjectはオープンソースのウェブベースプロジェクト管理ソフトウェアです。バージョン16.6.4以前のOpenProjectのワークパッケージPDFエクスポート機能にはローカルファイル読み取り(LFR)脆弱性が存在します。特殊に細工されたSVGファイル(PNGに偽装)をワークパッケージの添付ファイルとしてアップロードすることで、攻撃者はバックエンドの画像処理エンジン(ImageMagick)を悪用できます。ワークパッケージをPDFにエクスポートする際に、バックエンドが画像のリサイズを試み、その過程でImageMagickのtext: coderがトリガーされます。これにより、攻撃者はアプリケーションユーザーがアクセス権を持つ任意のローカルファイル(例:/etc/passwd、全プロジェクト構成ファイル、プライベートプロジェクトデータなど)を読み取ることが可能になります。この攻撃は、ワークパッケージのようにPDFにエクスポート可能なコンテナへの添付ファイルアップロード権限を必要とします。問題はバージョン16.6.4で修正されています。アップグレードが困難な場合は、手動でパッチを適用することが推奨されます。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Jan. 10, 2026, midnight |
| Registration Date | Jan. 16, 2026, 2:18 p.m. |
| Last Update | Jan. 16, 2026, 2:18 p.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L |
| OpenProject |
| OpenProject 16.6.4 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年01月16日] 掲載 |
Jan. 16, 2026, 2:18 p.m. |