Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Cross-site scripting en OTRS

Cross-site scripting en OTRS

Por Deja un comentario

OTRS ha publicado actualizaciones para evitar una vulnerabilidad de cross-site scripting en todas las versiones del módulo FAQ.
OTRS es un proyecto de código abierto destinado a la gestión de tickets. Los tickets pueden llegar bien a través de teléfono o de correo electrónico, y son gestionados desde una interfaz web. Una de las grandes ventajas de esta plataforma, es que permite ser personalizada por medio de diferentes módulos.
El problema podría permitir a usuarios locales crear URLs en la búsqueda en FAQ, que podría facilitar la creación de ataques de cross-site scripting. Como siempre, esta vulnerabilidad podría permitir el acceso a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
Se ven afectadas todas las versiones del módulo FAQ (2.x.x, 4.0.x y 5.0.x). Se han publicado las versiones FAQ 5.0.2, FAQ 4.0.3 y FAQ 2.3.4 que solucionan este problema. Disponibles desde:
http://ftp.otrs.org/pub/otrs/packages/FAQ-5.0.2.opm
http://ftp.otrs.org/pub/otrs/packages/FAQ-4.0.3.opm
http://ftp.otrs.org/pub/otrs/packages/FAQ-2.3.4.opm
Más información:
Security Advisory 2015-03: Vulnerability discovered in OTRS FAQ package
https://www.otrs.com/security-advisory-2015-03-vulnerability-discovered-in-otrs-faq-package/?lang=es
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.