OTRS存在多个跨站脚本漏洞

漏洞起因
输入验证错误
危险等级

 
影响系统
OTRS OTRS 3.0.6
OTRS OTRS 3.0.5
OTRS OTRS 2.4.9
OTRS OTRS 2.4.8
OTRS OTRS 2.4.8
OTRS OTRS 2.4.7
OTRS OTRS 2.4.6
OTRS OTRS 2.3.5
OTRS OTRS 2.3.4
OTRS OTRS 3.0.4
OTRS OTRS 3.0.3
OTRS OTRS 3.0.2
OTRS OTRS 3.0.1
 
不受影响系统
OTRS OTRS 3.0.7
OTRS OTRS 2.4.10
 
危害
远程攻击者可以利用漏洞获得敏感信息或者劫持目标用户会话。
 
攻击所需条件
攻击者必须构建恶意URL,诱使用户解析。
 
漏洞信息
OTRS全称为Open Ticket Request System,是用于管理用户投诉和售后问题的系统。
部分输入在返回用户之前OTRS没有进行正确的过滤,攻击者可以利用漏洞进行跨站脚本攻击,构建恶意URL,诱使用户解析,可获得敏感信息或劫持目标用户会话。
 
测试方法
 
厂商解决方案
OTRS 3.0.7和2.4.10已经修复此漏洞,建议用户下载使用:
http://otrs.org/
 
漏洞提供者
Szymon Sobczyk
  
 
漏洞消息链接
http://otrs.org/advisory/OSA-2011-01-en/
http://secunia.com/advisories/44029/

发表评论?

0 条评论。

发表评论