OTRS script beszúrás és szolgáltatás megtagadás sérülékenységek

2010. szeptember 20. 07:13

CH azonosító

CH-3673

Angol cím

OTRS Script Insertion and Denial of Service Vulnerabilities

Felfedezés dátuma

2010.09.15.

Súlyosság

Közepes

Érintett rendszerek

OTRS
Open Ticket Request System

Érintett verziók

OTRS (Open Ticket Request System) 2.3.0 - 2.3.5, 2.4.0 - 2.4.7

Összefoglaló

Több sérülékenységet találtak az OTRS-ben, amiket kihasználva rosszindulatú felhasználók script beszúrásos támadást indíthatnak, támadók pedig szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.

Leírás

Bizonyos nem részletezett paraméterek nincsenek megfelelően megtisztítva, mielőtt a felhasználónál megjelenítésre kerülnek. Ezt kihasználva, rosszindulatú tartalom megtekintésekor, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében az érintett oldal vonatkozásában.
Bizonyos írások megjelenítésekor, a reguláris kifejezések (regular expressions) feldolgozásának hibáját kihasználva, nagy CPU terheltséget, ezáltal szolgáltatás megtagadást (DoS – Denial of Service) lehet okozni speciálisan elkészített email üzenetek küldésével.

Legfrissebb sérülékenységek

CVE-2023-33175 – Python ToUI modul sérülékenysége

CVE-2023-2868 – Barracuda Email Security Gateway sérülékenysége

CVE-2023-1424 – Mitsubishi Electric Corporation MELSEC iQ-F szériájú CPU sérülékenysége

CVE-2023-27068 – Sitecore Experience Platform sérülékenysége

CVE-2023-33236 – MXsecurity sérülékenysége

CVE-2020-36694 – Linux Kernel sérülékenysége

CVE-2023-33250 – Linux Kernel Release Candidate 1 sérülékenysége

CVE-2023-2706 – OTP Login Woocommerce & Gravity Forms WordPress bővítmény sérülékenysége

CVE-2023-2499 – WordPress RegistrationMagic beépülő modul sérülékenysége

CVE-2023-32314 – vm2 sandbox sérülékenysége

Tovább a sérülékenységekhez »

OTRS script beszúrás és szolgáltatás megtagadás sérülékenységek