2019-0842: OTRS: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen und verschiedene Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2019-04-26 14:18)

Neues Advisory

Betroffene Software

Middleware
Office
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein entfernter, einfach als Agent authentifizierter Angreifer kann mehrere Schwachstellen in OTRS und der Kalenderfunktion ausnutzen, um auf beliebige Systemdateien zuzugreifen sowie persistente und reflektierte Cross-Site-Scripting-Angriffe (XSS) durchzuführen.

Die Schwachstellen betreffen OTRS 7.0.x bis inklusive Version 7.0.6, OTRS 6.0.x bis inklusive 6.0.17 und OTRS 5.0.x bis inklusive 5.0.34. Der Kalender ist Im Versionszweig 5.0.x nicht Teil der Software, hier ist die Anwendung OTRSAppointmentCalendar 5.0.x bis inklusive Version 5.0.12 von der Schwachstelle CVE-2019-10066 betroffen.

Zur Behebung der Schwachstellen stellt der Hersteller OTRS 7.0.7, OTRS 6.0.18 und OTRS 5.0.35 sowie OTRSAppointmentCalendar 5.0.13 als Sicherheitsupdates bereit.

Schwachstellen:

CVE-2019-10066

Schwachstelle in OTRS ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-10067

Schwachstelle in OTRS ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-9892

Schwachstelle in OTRS ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.