OTRS Ticket Watch Mechanism biztonsági szabály megkerülés sérülékenység | Nemzeti Kibervédelmi Intézet

OTRS Ticket Watch Mechanism biztonsági szabály megkerülés sérülékenység

2013. június 20. 12:55

CH azonosító

CH-9447

Angol cím

OTRS Ticket Watch Mechanism Security Bypass Vulnerability

Felfedezés dátuma

2013.06.18.

Súlyosság

Érintett rendszerek

Érintett verziók

OTRS Help Desk 3.x

Összefoglaló

Az OTRS sérülékenysége vált ismertté, amelyet kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági korlátozásokat.

Leírás

A sérülékenység oka, hogy az alkalmazás nem megfelelően ellenőrzi a jogosultságokat a ticket-ek “ticket watch” mechanizmuson keresztül történő elérésekor, ami kihasználható egyébkét elérhetetlen ticket-ek tartalmának felfedésére.

A sérülékenység a 3.2.8 előtti 3.2.x, a 3.1.17 előtti 3.1.x és a 3.0.21 előtti 3.0 verziókat érinti.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Security bypass (Biztonsági szabályok megkerülése)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.otrs.com
CVE-2013-4088 - NVD CVE-2013-4088
SECUNIA 53851

Legfrissebb sérülékenységek

CVE-2023-38823 – Tenda AC routerek sérülékenysége

CVE-2023-43177 – CrushFTP sérülékenysége

cve-2023-36439 – Microsoft Exchange szerver sérülékenysége

CVE-2023-23368 – QNAP QTS sérülékenysége

CVE-2023-22518 – Confluence Data Center és Server sérülékenysége

CVE-2023-20273 – Cisco IOS XE Web UI jogosultság kiterjesztés sérülékenysége

CVE-2023-20198 – Cisco IOS XE Web UI sérülékenysége

CVE-2023-4966 – NetScaler ADC és NetScaler Gateway sérülékenysége

CVE-2023-20101 – Cisco Emergency Responder 12.5(1)SU4 sérülékenysége

CVE-2023-22515 – Atlassian Confluence Data Center és Server sérülékenysége

Tovább a sérülékenységekhez »

Ugrás a tetejére