CVE-2022-0473

In OTRS existiert eine Cross-Site Scripting Schwachstelle. HTML und Script-Eingaben werden in der "Fehlermeldung eines dynamischen Feldes" nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter authentisierter Angreifer mit bestimmten Rechten kann durch Ausnutzung dieser Schwachstelle beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich.

 

CVE-2022-0474

Es existiert eine Schwachstelle in OTRS. Der Fehler besteht, wenn die Benachrichtigung so eingestellt ist, dass sie an jeden Empfänger einzeln gesendet wird. Ein entfernter authentisierter Angreifer mit bestimmten Rechten kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich.

 

Die Schwachstellen wurden bereits in der Version 6.0.37 und 6.1.2 behoben, wir empfehlen auf das aktuelle Znuny Release 6.2.2 zu updaten.

 

Weitere Details finden Sie:

CERT Bund: https://www.cert-bund.de/advisoryshort/CB-K22-0143

Znuny Advisories: https://www.znuny.org/en/advisories