jueves, 3 de diciembre de 2015

Cross-site scripting en OTRS

OTRS ha publicado actualizaciones para evitar una vulnerabilidad de cross-site scripting en todas las versiones del módulo FAQ.

OTRS es un proyecto de código abierto destinado a la gestión de tickets. Los tickets pueden llegar bien a través de teléfono o de correo electrónico, y son gestionados desde una interfaz web. Una de las grandes ventajas de esta plataforma, es que permite ser personalizada por medio de diferentes módulos.

El problema podría permitir a usuarios locales crear URLs en la búsqueda en FAQ, que podría facilitar la creación de ataques de cross-site scripting. Como siempre, esta vulnerabilidad podría permitir el acceso a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Se ven afectadas todas las versiones del módulo FAQ (2.x.x, 4.0.x y 5.0.x). Se han publicado las versiones FAQ 5.0.2, FAQ 4.0.3 y FAQ 2.3.4 que solucionan este problema. Disponibles desde:

Más información:

Security Advisory 2015-03: Vulnerability discovered in OTRS FAQ package


Antonio Ropero
Twitter: @aropero





No hay comentarios:

Publicar un comentario en la entrada