Összefoglaló
Az OTRS és OTRS ITSM egy sérülékenységét jelentették, amit kihasználva a rosszindulatú felhasználók bizalmas információkat szerezhetnek.
Leírás
A sérülékenységet a ticket split funkcióval kapcsolatos URL-ek kezelése során keletkező hiba okozza, amit kihasználva hozzá lehet férni egyébként korlátozottan elérhető ticket-ekhez is.
A sérülékenység sikeres kihasználásához érvényes felhasználói fiókra van szükség.
A sérülékenységet az alábbi termékekben és verziókban jelentették:
- OTRS 3.2.x – 3.2.6, 3.1.x – 3.1.15 és 3.0.x – 3.0.19 verziók
- OTRS ITSM 3.2.x – 3.2.4, 3.1.x – 3.1.8 és 3.0.x – 3.0.7 verziók
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.otrs.com
CVE-2013-3551 - NVD CVE-2013-3551
SECUNIA 53496