Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Zammad GmbH Zammad (CVE-2018-1000154)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
05/04/2018
Última modificación:
10/05/2018

Descripción

Las versiones 2.3.0 y anteriores de Zammad GmbH Zammad contienen una vulnerabilidad de neutralización incorrecta de etiquetas HTML relacionadas con scripts en una página web (CWE-80) en el asunto de correos electrónicos que no están entrecomillados por HTML en ciertos casos. Esto puede resultar en que se embebe y ejecuta código JavaScript en el navegador de los usuarios. El ataque parece ser explotable mediante una víctima que abra un ticket. La vulnerabilidad parece haber sido solucionada en las versiones 2.3.1, 2.2.2 y 2.1.3.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:zammad:zammad:*:*:*:*:*:*:*:* 2.3.0 (incluyendo)