Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Open Ticket Request System (OTRS) (CVE-2019-9892)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/05/2019
Última modificación:
20/01/2023

Descripción

Se encontró un problema en Open Ticket Request System (OTRS) en las versiones 5.x hasta 5.0.34, 6.x hasta 6.0.17, y 7.x hasta 7.0.6. Un atacante logeado en OTRS como un agente de usuario con los permisos apropiados puede intentar importar un Report Statistics XML creado minuciosamente que le dará como resultado la lectura de archivos arbitrarios en OTRS filesystem.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:otrs:otrs:*:*:*:*:*:*:*:* 5.0.0 (incluyendo) 5.0.34 (incluyendo)
cpe:2.3:a:otrs:otrs:*:*:*:*:*:*:*:* 6.0.0 (incluyendo) 6.0.17 (incluyendo)
cpe:2.3:a:otrs:otrs:*:*:*:*:*:*:*:* 7.0.0 (incluyendo) 7.0.6 (incluyendo)
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*