Vulnerabilities ›

CVE-2026-22601

High

OpenProject Command Injection via Sendmail Configuration (CVE-2026-22601)

CWE-77 — Weakness Type

                    Published: Jan 10, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

7.2

🔗 NVD Official

📄 Description (English)

OpenProject is an open-source, web-based project management software. For OpenProject version 16.6.1 and below, a registered administrator can execute arbitrary command by configuring sendmail binary path and sending a test email. This issue has been patched in version 16.6.2.

🤖 AI Executive Summary

OpenProject versions 16.6.1 and below contain a critical command injection vulnerability (CWE-77) allowing authenticated administrators to execute arbitrary system commands by manipulating the sendmail binary path configuration and triggering a test email. The vulnerability has been patched in version 16.6.2.

📄 Description (Arabic)

تؤثر هذه الثغرة الأمنية على نظام إدارة المشاريع مفتوح المصدر OpenProject في الإصدارات 16.6.1 وما قبلها. يمكن للمسؤول المصادق عليه استغلال آلية إعدادات البريد الإلكتروني عبر تعديل مسار ملف sendmail الثنائي وإدخال أوامر ضارة يتم تنفيذها عند إرسال بريد اختباري. تصنف الثغرة ضمن CWE-77 (حقن الأوامر) وتحمل درجة خطورة 7.2 على مقياس CVSS. يتطلب الاستغلال صلاحيات إدارية مما يقلل من احتمالية الاستغلال الخارجي لكنه يشكل خطراً كبيراً في حالات اختراق حسابات المسؤولين أو التهديدات الداخلية.

🤖 ملخص تنفيذي (AI)

تحتوي إصدارات OpenProject 16.6.1 وما دون على ثغرة حقن أوامر حرجة تسمح للمسؤولين المصادق عليهم بتنفيذ أوامر نظام عشوائية من خلال التلاعب بمسار sendmail وإرسال بريد اختباري. تم إصلاح الثغرة في الإصدار 16.6.2.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 08:12

🇸🇦 Saudi Arabia Impact Assessment

Saudi organizations using OpenProject for project management face significant risk of complete system compromise if administrator accounts are compromised. This is particularly critical for government entities and enterprises managing sensitive projects under NCA and SAMA oversight, as attackers could gain full server control, exfiltrate confidential project data, or pivot to connected systems.

🏢 Affected Saudi Sectors

القطاع الحكومي القطاع المالي والمصرفي قطاع الاتصالات وتقنية المعلومات قطاع الطاقة والمرافق قطاع التعليم قطاع الرعاية الصحية

🎯 MITRE ATT&CK Techniques

T1059 T1059.004 T1078.002 T1548 T1203

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately upgrade all OpenProject installations to version 16.6.2 or later to patch the command injection vulnerability

2. Conduct security audit of all administrator accounts, enforce MFA, review recent email configuration changes and system logs for suspicious sendmail path modifications or test email activities

3. Implement principle of least privilege by restricting administrator access, deploy application-level controls to validate and sanitize sendmail binary paths, and isolate OpenProject servers using network segmentation

🔧 خطوات المعالجة (العربية)

1. الترقية الفورية لجميع تثبيتات OpenProject إلى الإصدار 16.6.2 أو أحدث لإصلاح ثغرة حقن الأوامر

2. إجراء مراجعة أمنية شاملة لجميع حسابات المسؤولين وتفعيل المصادقة متعددة العوامل ومراجعة سجلات التغييرات الأخيرة في إعدادات البريد الإلكتروني والأنشطة المشبوهة المتعلقة بتعديل مسار sendmail

3. تطبيق مبدأ الصلاحيات الأقل امتيازاً بتقييد الوصول الإداري ونشر ضوابط على مستوى التطبيق للتحقق من مسارات sendmail وعزل خوادم OpenProject باستخدام تجزئة الشبكة

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-2 (Vulnerability Management) ECC-3-1 (Access Control) ECC-4-1 (System Hardening) ECC-5-2 (Security Monitoring)

🔵 SAMA CSF

CCC-1.1.1 (Cybersecurity Policy) CCC-3.1.1 (Vulnerability Assessment) CCC-4.2.1 (Privileged Access Management) CCC-6.1.1 (Security Monitoring)

🟡 ISO 27001:2022

A.12.6.1 (Technical Vulnerability Management) A.9.2.3 (Management of Privileged Access Rights) A.14.2.5 (Secure System Engineering Principles)

🔗 References & Sources 2

🔗

https://github.com/opf/openproject/releases/tag/v16.6.2

security-advisories@github.com

Release Notes

🔗

https://github.com/opf/openproject/security/advisories/GHSA-9vrv-7h26-c7jc

security-advisories@github.com

Vendor Advisory

📦 Affected Products / CPE 1 entries

openproject:openproject

📊 CVSS Score

7.2

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredH — High

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score7.2

CWECWE-77

EPSS0.08%

Exploit No

Patch ✓ Yes

Published 2026-01-10

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-77

🏢 Vendor Advisories

🔗 https://github.com/opf/openproject/security/advisori...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-22601

Introduce Yourself

Sign In Required