OTRS ha publicado actualizaciones para evitar una vulnerabilidad de cross-site scripting en todas las versiones del módulo FAQ.
OTRS es un proyecto de código abierto destinado a la gestión de tickets. Los tickets pueden llegar bien a través de teléfono o de correo electrónico, y son gestionados desde una interfaz web. Una de las grandes ventajas de esta plataforma, es que permite ser personalizada por medio de diferentes módulos.
El problema podría permitir a usuarios locales crear URLs en la búsqueda en FAQ, que podría facilitar la creación de ataques de cross-site scripting. Como siempre, esta vulnerabilidad podría permitir el acceso a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
Se ven afectadas todas las versiones del módulo FAQ (2.x.x, 4.0.x y 5.0.x). Se han publicado las versiones FAQ 5.0.2, FAQ 4.0.3 y FAQ 2.3.4 que solucionan este problema. Disponibles desde:
Más información:
Security Advisory 2015-03: Vulnerability discovered in OTRS FAQ package
https://www.otrs.com/security-advisory-2015-03-vulnerability-discovered-in-otrs-faq-package/?lang=es
Antonio Ropero
Twitter: @aropero
Deja una respuesta