Összefoglaló
Az OTRS Help Desk két sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting és clickjacking támadásokat hajthatnak végre.
Leírás
- A dinamikus mezőkhöz kapcsolódó bizonyos bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.
- Az alkalmazás lehetővé teszi, hogy a felhasználók HTTP kéréseken keresztül iframe-eken hajtsanak végre bizonyos műveleteket a jogosultságok ellenőrzése nélkül. Ez kihasználható bizonyos nem részletezett műveletek végrehajtására ha a felhasználó ráklikkel egy kártékony hivatkozásra pl. clickjacking technika alkalmazásával.
A sérülékenységek a 3.1.21, 3.2.16, és 3.3.6 előtti verziókat érintik.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Cross Site Scripting (XSS/CSS)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.otrs.com
Gyártói referencia: www.otrs.com
CVE-2014-2553 - NVD CVE-2014-2553
CVE-2014-2554 - NVD CVE-2014-2554
SECUNIA 57616