CVE-2026-30236

OpenProject is an open-source, web-based project management software. Prior to 17.2.0, when editing a project budget and planning the labor cost, it was not checked that the user that was planned in the budget is actually a project member. This exposed the user's default rate (if one was set up) to users that should only see that information for project members. Also, the endpoint that handles the pre-calculation for the frontend to display a preview of the costs, while it was being entered, did not properly validate the membership of the user as well. This also allowed to calculate costs with the default rate of non-members. This vulnerability is fixed in 17.2.0.

CVSS v3 4.3 MEDIUM

4.3^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact LOW

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://github.com/opf/openproject/security/advisories/GHSA-p747-569x-3v3f	Vendor Advisory

Configurations

Configuration 1 (hide)

cpe:2.3:a:openproject:openproject:*:*:*:*:*:*:*:*

History

13 Mar 2026, 19:02

Type	Values Removed	Values Added
CPE		cpe:2.3:a:openproject:openproject::::::::
Summary		(es) OpenProject es un software de gestión de proyectos de código abierto y basado en la web. Antes de la 17.2.0, al editar un presupuesto de proyecto y planificar el costo de la mano de obra, no se verificaba que el usuario planificado en el presupuesto fuera realmente un miembro del proyecto. Esto exponía la tarifa predeterminada del usuario (si se había configurado una) a usuarios que solo deberían ver esa información para miembros del proyecto. Además, el endpoint que maneja el precálculo para que el frontend muestre una vista previa de los costos, mientras se introducían, tampoco validaba correctamente la membresía del usuario. Esto también permitía calcular costos con la tarifa predeterminada de no miembros. Esta vulnerabilidad está corregida en la 17.2.0.
First Time		Openproject openproject Openproject
References	~~() https://github.com/opf/openproject/security/advisories/GHSA-p747-569x-3v3f -~~	() https://github.com/opf/openproject/security/advisories/GHSA-p747-569x-3v3f - Vendor Advisory

11 Mar 2026, 17:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-03-11 17:16

Updated : 2026-03-13 19:02

NVD link : CVE-2026-30236

Mitre link : CVE-2026-30236

CVE.ORG link : CVE-2026-30236

JSON object : View

Products Affected

openproject

openproject

CWE

CWE-863

Incorrect Authorization

4.3 /10