Vulnerabilidad en Open Ticket Request System (OTRS) (CVE-2019-9892)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/05/2019
Última modificación:
20/01/2023
Descripción
Se encontró un problema en Open Ticket Request System (OTRS) en las versiones 5.x hasta 5.0.34, 6.x hasta 6.0.17, y 7.x hasta 7.0.6. Un atacante logeado en OTRS como un agente de usuario con los permisos apropiados puede intentar importar un Report Statistics XML creado minuciosamente que le dará como resultado la lectura de archivos arbitrarios en OTRS filesystem.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:otrs:otrs:*:*:*:*:*:*:*:* | 5.0.0 (incluyendo) | 5.0.34 (incluyendo) |
cpe:2.3:a:otrs:otrs:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.0.17 (incluyendo) |
cpe:2.3:a:otrs:otrs:*:*:*:*:*:*:*:* | 7.0.0 (incluyendo) | 7.0.6 (incluyendo) |
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00038.html
- http://lists.opensuse.org/opensuse-security-announce/2020-09/msg00066.html
- http://lists.opensuse.org/opensuse-security-announce/2020-09/msg00077.html
- https://community.otrs.com/security-advisory-2019-04-security-update-for-otrs-framework/
- https://lists.debian.org/debian-lts-announce/2019/05/msg00003.html