Vulnerabilidad en descarga de claves y certificados de PGP o S/MIME en Community Edition ((OTRS)) . (CVE-2020-1774)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/04/2020
Última modificación:
31/08/2023
Descripción
Cuando el usuario descarga claves y certificados de PGP o S/MIME, el archivo exportado presenta el mismo nombre para las claves privadas y públicas. Por lo tanto, es posible mezclarlos y enviar la clave privada a un tercero en lugar de la clave pública. Este problema afecta a ((OTRS)) Community Edition: versiones 5.0.42 y anteriores, versiones 6.0.27 y anteriores. OTRS: versiones 7.0.16 y anteriores.
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:otrs:otrs:*:*:*:*:community:*:*:* | 5.0.0 (incluyendo) | 5.0.42 (incluyendo) |
| cpe:2.3:a:otrs:otrs:*:*:*:*:community:*:*:* | 6.0.0 (incluyendo) | 6.0.27 (incluyendo) |
| cpe:2.3:a:otrs:otrs:*:*:*:*:*:*:*:* | 7.0.0 (incluyendo) | 7.0.16 (incluyendo) |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página