OTRS opravuje 4 zraniteľnosti

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] OTRS opravuje 4 zraniteľnosti

OTRS AG opravuje 4 zraniteľnosti v produktoch OTRS a ((OTRS)). Oprava bola vydaná vo verzii 2025.1 pre OTRS a v 6.0.34 pre ((OTRS)) [1][2][3][4].

OTRS - content spoofing (CVE-2024-43445) CVSS 5.4 (Medium)

Neautentizovanému vzdialenému útočníkovi je OTRS a ((OTRS)) umožnené falšovať obsah, ktorý je súčasťou HTTP odpovede [1].

Zraniteľnosť sa nachádza v produktoch:

OTRS vo verziách (>=7.0 AND <7.1) OR (>=8.0 AND <8.1) OR (>=2023 AND <2025.1)
((OTRS)) vo verziách >=6.0 AND <6.0.34

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

Viac informácií:

CVE-2024-43445 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-20: Improper Input Validation at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 27. 1. 2025.

OTRS - unauthorized status change (CVE-2024-43446) CVSS 3.5 (Low)

Autentizovanému vzdialenému útočníkovi je v OTRS a ((OTRS)) umožnené neoprávnene meniť status lístka [2].

Zraniteľnosť sa nachádza v produktoch:

OTRS vo verziách (>=7.0 AND <7.1) OR (>=8.0 AND <8.1) OR (>=2023 AND <2025.1)
((OTRS)) vo verziách >=6.0 AND <6.0.34

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

Viac informácií:

CVE-2024-43446 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-269: Improper Privilege Management at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 27. 1. 2025.

OTRS - information leak (CVE-2025-24389) CVSS 6.3 (Medium)

Autentizovanému vzdialenému útočníkovi je v OTRS a ((OTRS)) umožnené pristupovať k citlivým informáciám z logových súborov. Ako dočasnú opravu je možné zakázať SMTP v OTRS a použiť MTA (Mail Transfer Agent) ako náhradu (napr. Postfix) [3]

Zraniteľnosť sa nachádza v produktoch:

OTRS vo verziách (>=7.0 AND <7.1) OR (>=8.0 AND <8.1) OR (>=2023 AND <2025.1)
((OTRS)) vo verziách >=6.0 AND <6.0.34

CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N

Viac informácií:

CVE-2025-24389 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-532: Insertion of Sensitive Information into Log File at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 27. 1. 2025.

OTRS - session hijacking (CVE-2025-24390) CVSS 6.8 (Medium)

Autentizovanému vzdialenému útočníkovi je v OTRS z dôvodu nesprávneho nastavovania atribútov súborov cookie potenciálne umožnené získať reláciu iného používateľa [4].

Zraniteľnosť sa nachádza v produkte OTRS vo verziách (>=7.0 AND <7.1) OR (>=8.0 AND <8.1) OR (>=2023 AND <2025.1).

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N

Viac informácií:

CVE-2025-24390 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-614: Sensitive Cookie in HTTPS Session Without 'Secure' Attribute at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 27. 1. 2025.

Odkazy

Za CESNET-CERTS Martin Krajči dňa 27. 1. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] OTRS opravuje 4 zraniteľnosti

OTRS - content spoofing (CVE-2024-43445) CVSS 5.4 (Medium)

OTRS - unauthorized status change (CVE-2024-43446) CVSS 3.5 (Low)

OTRS - information leak (CVE-2025-24389) CVSS 6.3 (Medium)

OTRS - session hijacking (CVE-2025-24390) CVSS 6.8 (Medium)

Odkazy