漏洞起因
输入验证错误
危险等级
低
影响系统
OTRS OTRS 2.4.8
OTRS OTRS 2.4.7
OTRS OTRS 2.4.6
OTRS OTRS 2.4.5
OTRS OTRS 2.4.4
OTRS OTRS 2.4.3
OTRS OTRS 2.4.2
OTRS OTRS 2.4.1
不受影响系统
OTRS OTRS 2.4.9
危害
远程攻击者可以利用漏洞进行跨站脚本攻击,获得敏感信息。
攻击所需条件
攻击者必须访问OTRS。
漏洞信息
OTRS全称为Open Ticket Request System,是用于管理用户投诉和售后问题的系统。
AgentTicketZoom对通过HTML EMAIL提供的部分输入在显示给用户之前缺少过滤,可导致跨站脚本。
当客户发送HTML EMAIL和在OTRS中启用RichText时,包含在Email中的JavaScript可在OTRS代理接口上执行。
测试方法
厂商解决方案
OTRS 2.4.9已经修复此漏洞,建议用户下载使用:
http://otrs.org/
漏洞提供者
Johan Schuyt
漏洞消息链接
http://otrs.org/advisory/OSA-2010-03-en/
0 条评论。