2021-0265: OTRS: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2021-02-08 16:23)

Neues Advisory

Betroffene Software

Middleware
Office
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in CKEditor betreffen OTRS und können aus der Ferne ausgenutzt werden, um einen Cross-Site-Scripting (XSS)-Angriff und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Eine weitere Schwachstelle in OTRS ermöglicht einem Angreifer mit niedrigen Privilegien aus der Ferne das Ausspähen von Informationen.

Der Hersteller veröffentlicht darüber hinaus Informationen zu Schwachstellen in OTRSTicketForms und Survey, die einem Angreifer mit erweiterten Privilegien das Ausspähen weiterer Informationen und einen zusätzlichen Cross-Site-Scripting-Angriff ermöglichen. Eine Schwachstelle in OTRSCIsInCustomerFrontend kann wiederum von einem Angreifer mit niedrigen Privilegien ausgenutzt werden, um Privilegien zu eskalieren.

Alle Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstellen in CKEditor kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und empfiehlt zu deren Behebung ein Update auf die Versionen 8.0.11 und 7.0.24. Für die Schwachstellen in den spezifischen Komponenten und Modulen von OTRS stehen unabhängige Sicherheitsupdates zur Verfügung.

OTRS hat kurz vor Weihnachten angekündigt, dass beginnend mit dem Jahr 2021 die Unterstützung für die Community-Version 6 des Ticketsystems eingestellt wird und keine Sicherheitsupdates mehr bereitgestellt werden. Der Hersteller weist zusätzlich darauf hin, dass OTRS 4 und 5 schwerwiegende Sicherheitslücken haben, die auch Probleme mit der DSGVO-Konformität nach sich ziehen können. Beide Versionen werden seit März 2020 nicht mehr mit Sicherheitsupdates versorgt.

Schwachstellen:

CVE-2018-17960

Schwachstelle in CKEditor ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-1779

Schwachstelle in OTRSTicketForms ermöglicht Ausspähen von Informationen

CVE-2021-21434

Schwachstelle in OTRS Survey ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-21435

Schwachstelle in OTRS ermöglicht Ausspähen von Informationen

CVE-2021-21436

Schwachstelle in OTRSCIsInCustomerFrontend ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.