Se han publicado los boletines OSA-2014-01 y OSA-2014-02 que
afectan a las versiones OTRS 3.3.x, OTRS 3.2.x y OTRS 3.1.x. Los cuales
solucionan vulnerabilidades con impacto bajo pero que afectan de forma remota.
OTRS es un proyecto de código abierto destinado a la gestión de tickets. Los tickets pueden llegar bien a través de teléfono o de correo electrónico, y son gestionados desde una interfaz web. Una de las grandes ventajas de esta plataforma, es que permite ser personalizada por medio de diferentes módulos.
Detalle e Impacto de las vulnerabilidades
- CVE-2014-1694: Falta de token de seguridad en los módulos CustomerTicketMessage y CustomerTicketZoom que podría causar un ataque CSRF en la interfaz web de cliente.
- CVE-2014-1471: Error de comprobación de parámetros en State::StateGetStatesByType() que podría causar una inyección SQL.
Recomendaciones
Se recomienda actualizar OTRS a una de las siguientes versiones: 3.3.4, 3.2.14 o 3.1.19
Más
información:
- Una al día (2/2/2014) http://unaaldia.hispasec.com/2014/02/boletines-de-seguridad-para-otrs.html
- Security Advisory 2014-01 – CSRF issue in customer web interface https://www.otrs.com/security-advisory-2014-01-csrf-issue-customer-web-interface/
- Security Advisory 2014-02 – SQL injection issue https://www.otrs.com/security-advisory-2014-02-sql-injection-issue/
Fuente:
Hispasec