OTRS ‘AgentTicketZoom’ HTML注入漏洞

漏洞起因
输入验证错误
危险等级

 
影响系统
OTRS OTRS 2.4.8
OTRS OTRS 2.4.7
OTRS OTRS 2.4.6
OTRS OTRS 2.4.5
OTRS OTRS 2.4.4
OTRS OTRS 2.4.3
OTRS OTRS 2.4.2
OTRS OTRS 2.4.1
 
不受影响系统
OTRS OTRS 2.4.9
 
危害
远程攻击者可以利用漏洞进行跨站脚本攻击,获得敏感信息。
 
攻击所需条件
攻击者必须访问OTRS。
 
漏洞信息
OTRS全称为Open Ticket Request System,是用于管理用户投诉和售后问题的系统。
AgentTicketZoom对通过HTML EMAIL提供的部分输入在显示给用户之前缺少过滤,可导致跨站脚本。
当客户发送HTML EMAIL和在OTRS中启用RichText时,包含在Email中的JavaScript可在OTRS代理接口上执行。
 
测试方法
 
厂商解决方案
OTRS 2.4.9已经修复此漏洞,建议用户下载使用:
http://otrs.org/
 
漏洞提供者
Johan Schuyt
 
漏洞消息链接
http://otrs.org/advisory/OSA-2010-03-en/

发表评论?

0 条评论。

发表评论