OTRS Help Desk cross-site scripting és clickjacking sérülékenységek


2014. április 2. 09:35

CH azonosító

CH-10854

Angol cím

OTRS Help Desk Cross-Site Scripting and Clickjacking Vulnerabilities

Felfedezés dátuma

2014.03.31.

Súlyosság

Alacsony

Érintett rendszerek

Help Desk
OTRS

Érintett verziók

OTRS Help Desk 3.x

Összefoglaló

Az OTRS Help Desk két sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting és clickjacking támadásokat hajthatnak végre.

Leírás

  1. A dinamikus mezőkhöz kapcsolódó bizonyos bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.
  2. Az alkalmazás lehetővé teszi, hogy a felhasználók HTTP kéréseken keresztül iframe-eken hajtsanak végre bizonyos műveleteket a jogosultságok ellenőrzése nélkül. Ez kihasználható bizonyos nem részletezett műveletek végrehajtására ha a felhasználó ráklikkel egy kártékony hivatkozásra pl. clickjacking technika alkalmazásával.

A sérülékenységek a 3.1.21, 3.2.16, és 3.3.6 előtti verziókat érintik.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Cross Site Scripting (XSS/CSS)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.otrs.com
Gyártói referencia: www.otrs.com
CVE-2014-2553 - NVD CVE-2014-2553
CVE-2014-2554 - NVD CVE-2014-2554
SECUNIA 57616

Legfrissebb sérülékenységek
CVE-2026-20127 – Cisco Catalyst SD-WAN Controller and Manager Authentication Bypass sérülékenység
CVE-2022-20775 – Cisco SD-WAN Path Traversal sérülékenység
CVE-2026-21241 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sérülékenység
CVE-2025-40540 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenység
CVE-2025-40539 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenysége
CVE-2025-40538 – SolarWinds Serv-U Broken Access Control Remote Code Execution sérülékenysége
CVE-2026-25108 – Soliton Systems K.K FileZen OS Command Injection sérülékenység
CVE-2025-68461 – RoundCube Webmail Cross-site Scripting sérülékenység
CVE-2026-22769 – Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials sérülékenység
CVE-2021-22175 – GitLab Server-Side Request Forgery (SSRF) sérülékenység
Tovább a sérülékenységekhez »