jueves, 3 de diciembre de 2015

Cross-site scripting en OTRS

OTRS ha publicado actualizaciones para evitar una vulnerabilidad de cross-site scripting en todas las versiones del módulo FAQ.

OTRS es un proyecto de código abierto destinado a la gestión de tickets. Los tickets pueden llegar bien a través de teléfono o de correo electrónico, y son gestionados desde una interfaz web. Una de las grandes ventajas de esta plataforma, es que permite ser personalizada por medio de diferentes módulos.

El problema podría permitir a usuarios locales crear URLs en la búsqueda en FAQ, que podría facilitar la creación de ataques de cross-site scripting. Como siempre, esta vulnerabilidad podría permitir el acceso a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Se ven afectadas todas las versiones del módulo FAQ (2.x.x, 4.0.x y 5.0.x). Se han publicado las versiones FAQ 5.0.2, FAQ 4.0.3 y FAQ 2.3.4 que solucionan este problema. Disponibles desde:
http://ftp.otrs.org/pub/otrs/packages/FAQ-5.0.2.opm
http://ftp.otrs.org/pub/otrs/packages/FAQ-4.0.3.opm
http://ftp.otrs.org/pub/otrs/packages/FAQ-2.3.4.opm

Más información:

Security Advisory 2015-03: Vulnerability discovered in OTRS FAQ package
https://www.otrs.com/security-advisory-2015-03-vulnerability-discovered-in-otrs-faq-package/?lang=es


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero





Etiquetas: , ,
Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017