CH azonosító
CH-3673Angol cím
OTRS Script Insertion and Denial of Service VulnerabilitiesFelfedezés dátuma
2010.09.15.Súlyosság
KözepesÉrintett rendszerek
OTRSOpen Ticket Request System
Érintett verziók
OTRS (Open Ticket Request System) 2.3.0 - 2.3.5, 2.4.0 - 2.4.7
Összefoglaló
Több sérülékenységet találtak az OTRS-ben, amiket kihasználva rosszindulatú felhasználók script beszúrásos támadást indíthatnak, támadók pedig szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.
Leírás
- Bizonyos nem részletezett paraméterek nincsenek megfelelően megtisztítva, mielőtt a felhasználónál megjelenítésre kerülnek. Ezt kihasználva, rosszindulatú tartalom megtekintésekor, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében az érintett oldal vonatkozásában.
- Bizonyos írások megjelenítésekor, a reguláris kifejezések (regular expressions) feldolgozásának hibáját kihasználva, nagy CPU terheltséget, ezáltal szolgáltatás megtagadást (DoS – Denial of Service) lehet okozni speciálisan elkészített email üzenetek küldésével.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: otrs.org
CVE-2010-2080 - NVD CVE-2010-2080
SECUNIA 41381