Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / Cross-site scripting en OTRS

Cross-site scripting en OTRS

Por Leave a Comment

OTRS ha publicado actualizaciones para evitar una vulnerabilidad de cross-site scripting en todas las versiones del módulo FAQ.
OTRS es un proyecto de código abierto destinado a la gestión de tickets. Los tickets pueden llegar bien a través de teléfono o de correo electrónico, y son gestionados desde una interfaz web. Una de las grandes ventajas de esta plataforma, es que permite ser personalizada por medio de diferentes módulos.
El problema podría permitir a usuarios locales crear URLs en la búsqueda en FAQ, que podría facilitar la creación de ataques de cross-site scripting. Como siempre, esta vulnerabilidad podría permitir el acceso a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
Se ven afectadas todas las versiones del módulo FAQ (2.x.x, 4.0.x y 5.0.x). Se han publicado las versiones FAQ 5.0.2, FAQ 4.0.3 y FAQ 2.3.4 que solucionan este problema. Disponibles desde:
http://ftp.otrs.org/pub/otrs/packages/FAQ-5.0.2.opm
http://ftp.otrs.org/pub/otrs/packages/FAQ-4.0.3.opm
http://ftp.otrs.org/pub/otrs/packages/FAQ-2.3.4.opm
Más información:
Security Advisory 2015-03: Vulnerability discovered in OTRS FAQ package
https://www.otrs.com/security-advisory-2015-03-vulnerability-discovered-in-otrs-faq-package/?lang=es
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.