2 de febrero de 2014

Boletines de seguridad para OTRS

Se han publicado los boletines OSA-2014-01 y OSA-2014-02 que afectan a las versiones OTRS 3.3.x, OTRS 3.2.x y OTRS 3.1.x. Los cuales solucionan vulnerabilidades con impacto bajo pero que afectan de forma remota.
OTRS es un proyecto de código abierto destinado a la gestión de tickets. Los tickets pueden llegar bien a través de teléfono o de correo electrónico, y son gestionados desde una interfaz web. Una de las grandes ventajas de esta plataforma, es que permite ser personalizada por medio de diferentes módulos.
Detalle e Impacto de las vulnerabilidades
  • CVE-2014-1694: Falta de token de seguridad en los módulos CustomerTicketMessage y CustomerTicketZoom que podría causar un ataque CSRF en la interfaz web de cliente.
  • CVE-2014-1471: Error de comprobación de parámetros en State::StateGetStatesByType() que podría causar una inyección SQL.
Recomendaciones
Se recomienda actualizar OTRS a una de las siguientes versiones: 3.3.4, 3.2.14 o 3.1.19
Más información:
Fuente: Hispasec