OTRS sérülékenységek

CH azonosító

CH-8875

Angol cím

OTRS ITSM / FAQ Module Security Bypass and Script Insertion Vulnerabilities

Felfedezés dátuma

2013.04.07.

Súlyosság

Alacsony

Érintett rendszerek

FAQ (module for OTRS)
Help Desk
ITSM
OTRS

Érintett verziók

FAQ (module for OTRS) 2.x
OTRS ITSM 3.x
OTRS Help Desk 3.x

Összefoglaló

Az OTRS több sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók megkerülhetnek egyes biztonsági szabályokat, valamint script beszúrásos (script insertion) támadásokat indíthatnak.

Leírás

  1. Az objektum linkelési mechanizmus egy hibája miatt nem megfelelően történik meg a hozzáférés ellenőrzés, amit kihasználva egyébként korlátozott láthatóságuk ticket-ek címeit és objektumokat lehet megtekinteni, vagy objektumokra mutató hivatkozásokat lehet elhelyezni vagy törölni.
  2. Bizonyos nem részletezett bemeneti adaton keresztül a changes, workorder items vagy FAQ oldalaknak átadott értékek nem megfelelően vannak megtisztítva felhasználás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában a káros adat megtekintésekor.

A sérülékenységek az alábbi termékeket és verziókat érintik:

  • OTRS ITSM 3.2.3, 3.1.8, 3.0.7 előtti verziók
  • FAQ module for OTRS 2.2.3, 2.1.4, 2.0.8 előtti verziók
  • OTRS Help Desk 3.2.4, 3.1.14, 3.0.19 (csak az 1. sérülékenység)

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2023-41348 – ASUS RT-AX55 sérülékenysége
CVE-2023-41347 – ASUS RT-AX55 sérülékenysége
CVE-2023-41346 – ASUS RT-AX55 sérülékenysége
CVE-2023-41345 – ASUS RT-AX55 sérülékenysége
CVE-2023-39780 – ASUS RT-AX55 Routers OS Command Injection sérülékenysége
CVE-2025-35939 – Craft CMS External Control of Assumed-Immutable Web Parameter sérülékenysége
CVE-2025-3935 – ConnectWise ScreenConnect Improper Authentication sérülékenysége
CVE-2021-32030 – ASUS Routers Improper Authentication sérülékenysége
CVE-2025-33072 – Microsoft msagsfeedback.azurewebsites.net Information Disclosure sebezhetősége
Tovább a sérülékenységekhez »