OTRS ha publicado actualizaciones para evitar una vulnerabilidad de
cross-site scripting en todas las versiones del módulo FAQ.
OTRS es un proyecto de código abierto destinado a la gestión de tickets. Los tickets pueden llegar bien a través de teléfono o de correo electrónico, y son gestionados desde una interfaz web. Una de las grandes ventajas de esta plataforma, es que permite ser personalizada por medio de diferentes módulos.
Detalle e Impacto potencial de la vulnerabilidad
- El problema podría permitir a usuarios locales crear URLs en la búsqueda en FAQ, que podría facilitar la creación de ataques de cross-site scripting. Como siempre, esta vulnerabilidad podría permitir el acceso a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
Recursos afectados
- Se ven afectadas todas las versiones del módulo FAQ (2.x.x, 4.0.x y 5.0.x).
Se han publicado las versiones
FAQ 5.0.2, FAQ 4.0.3 y FAQ 2.3.4 que solucionan este problema. Disponibles
desde:
- http://ftp.otrs.org/pub/otrs/packages/FAQ-5.0.2.opm
- http://ftp.otrs.org/pub/otrs/packages/FAQ-4.0.3.opm
- http://ftp.otrs.org/pub/otrs/packages/FAQ-2.3.4.opm
- Security Advisory 2015-03: Vulnerability discovered in OTRS FAQ package https://www.otrs.com/security-advisory-2015-03-vulnerability-discovered-in-otrs-faq-package/?lang=es