OTRS输入验证错误漏洞
前景:
近日我司发现基于青岛BGP服务器租用上的一款跟踪管理系统软件存在安全漏洞,由于该漏洞会影响客户的信息交流
以及隐私问题,出于安全角度考虑出发,下面利联科技为您详细分析该漏洞信息。
漏洞描述:
Open Ticket Request System(OTRS)是德国OTRS集团的一套开源缺陷跟踪管理系统软件。该软件将电话,邮件等
各种渠道提交进来的服务请求归类为不同的队列、服务级别,服务人员通过青岛BGP服务器租用的OTRS系统来跟踪和
回复客户。
OTRS 7.0.14之前的7.0.x版本、OTRS(社区版)6.0.25之前的6.0.x版本和5.0.40之前的5.0.x版本中存在安全漏洞。攻击
者可利用该漏洞伪造AgentTicketCompose、AgentTicketForward和AgentTicketBounce and AgentTicketEmailOu
tbound页面中的from字段。
影响产品:
OTRS OTRS 7.0.*,<7.0.14
OTRS OTRS(社区版) 6.0.*,<6.0.25
OTRS OTRS(社区版) 5.0.*,<5.0.40
漏洞补丁:
目前厂商已发布升级补丁以修复漏洞,补丁获取参考相关网站。
总结:
在发布漏洞公告信息之前,利联网络安全中心都力争保证每条公告的准确性和可靠性。然而采纳和实施公告中的建议则完
全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您
应考虑其内容是否符合您个人或您企业的安全策略和流程。