OpenProject is an open-source, web-based project management software. For OpenProject version 16.6.1 and below, a registered administrator can execute arbitrary command by configuring sendmail binary path and sending a test email. This issue has been patched in version 16.6.2.
OpenProject versions 16.6.1 and below allow authenticated administrators to execute arbitrary commands by manipulating the sendmail binary path configuration and sending a test email. This vulnerability requires administrator privileges but poses a critical risk to system integrity and confidentiality.
تسمح هذه الثغرة للمسؤولين المصرحين في OpenProject بتنفيذ أوامر نظام عشوائية من خلال تعديل مسار ملف sendmail وإرسال رسالة بريد اختبار. الهجوم يتطلب وصول إداري مسبق لكنه يمكن أن يؤدي إلى اختراق كامل للنظام. تم إصلاح المشكلة في الإصدار 16.6.2.
إصدارات OpenProject 16.6.1 وما دونها تسمح للمسؤولين المصرحين بتنفيذ أوامر عشوائية من خلال التلاعب بمسار ملف sendmail والقيام بإرسال بريد اختبار. تتطلب هذه الثغرة صلاحيات إدارية لكنها تشكل خطراً حرجاً على سلامة النظام والسرية.
Immediately upgrade OpenProject to version 16.6.2 or later. Restrict administrator access to trusted personnel only. Implement principle of least privilege for administrative accounts. Monitor sendmail configuration changes and test email activities. Disable sendmail functionality if not required.
قم بترقية OpenProject فوراً إلى الإصدار 16.6.2 أو أحدث. قيد وصول المسؤول للأفراد الموثوقين فقط. طبق مبدأ أقل صلاحية للحسابات الإدارية. راقب تغييرات تكوين sendmail وأنشطة البريد الاختباري. عطل وظيفة sendmail إذا لم تكن مطلوبة.