OpenProject — это веб-программное обеспечение для управления проектами с открытым исходным кодом. До версии 17.2.0 при удалении бюджетов пакеты работ, назначенные этому бюджету, необходимо было переместить в другой бюджет. Это действие было выполнено до того, как была выполнена проверка разрешений на действие удаления.
Это позволило всем пользователям приложения удалять назначения бюджета пакета работ. Эта уязвимость исправлена в версии 17.2.0.
Показать оригинальное описание (EN)
OpenProject is an open-source, web-based project management software. Prior to 17.2.0, when budgets are deleted, the work packages that were assigned to this budget need to be moved to a different budget. This action was performed before the permission check on the delete action was executed. This allowed all users in the application to delete work package budget assignments. This vulnerability is fixed in 17.2.0.
Характеристики атаки
Последствия
Строка CVSS v3.1