الثغرات ›

CVE-2026-22601

مرتفع

ثغرة حقن أوامر في OpenProject عبر إعدادات Sendmail

CWE-77 — نوع الضعف

                    نُشر: Jan 10, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.2

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenProject is an open-source, web-based project management software. For OpenProject version 16.6.1 and below, a registered administrator can execute arbitrary command by configuring sendmail binary path and sending a test email. This issue has been patched in version 16.6.2.

🤖 ملخص AI

OpenProject versions 16.6.1 and below allow authenticated administrators to execute arbitrary commands by manipulating the sendmail binary path configuration and sending a test email. This vulnerability requires administrator privileges but poses a critical risk to system integrity and confidentiality.

📄 الوصف (العربية)

تسمح هذه الثغرة للمسؤولين المصرحين في OpenProject بتنفيذ أوامر نظام عشوائية من خلال تعديل مسار ملف sendmail وإرسال رسالة بريد اختبار. الهجوم يتطلب وصول إداري مسبق لكنه يمكن أن يؤدي إلى اختراق كامل للنظام. تم إصلاح المشكلة في الإصدار 16.6.2.

🤖 ملخص تنفيذي (AI)

إصدارات OpenProject 16.6.1 وما دونها تسمح للمسؤولين المصرحين بتنفيذ أوامر عشوائية من خلال التلاعب بمسار ملف sendmail والقيام بإرسال بريد اختبار. تتطلب هذه الثغرة صلاحيات إدارية لكنها تشكل خطراً حرجاً على سلامة النظام والسرية.

🤖 التحليل الذكي آخر تحليل: May 7, 2026 23:27

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking telecom energy healthcare

🎯 تقنيات MITRE ATT&CK

T1059 T1548 T1078

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade OpenProject to version 16.6.2 or later. Restrict administrator access to trusted personnel only. Implement principle of least privilege for administrative accounts. Monitor sendmail configuration changes and test email activities. Disable sendmail functionality if not required.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenProject فوراً إلى الإصدار 16.6.2 أو أحدث. قيد وصول المسؤول للأفراد الموثوقين فقط. طبق مبدأ أقل صلاحية للحسابات الإدارية. راقب تغييرات تكوين sendmail وأنشطة البريد الاختباري. عطل وظيفة sendmail إذا لم تكن مطلوبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.9.2.1 A.12.6.1

🔵 SAMA CSF

AC-2 AC-3 SI-2

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3 A.12.6.1

🔗 المراجع والمصادر 2

🔗

https://github.com/opf/openproject/releases/tag/v16.6.2

security-advisories@github.com

Release Notes

🔗

https://github.com/opf/openproject/security/advisories/GHSA-9vrv-7h26-c7jc

security-advisories@github.com

Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

openproject:openproject

📊 CVSS Score

7.2

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredH — High

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.2

CWECWE-77

EPSS0.08%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-10

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-77

🏢 توجيهات البائع

🔗 https://github.com/opf/openproject/security/advisori...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-22601

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب