Open Ticket Request System存在多个跨站点请求伪造漏洞

admin

0
文章

0
评论

2023-12-07 08:12:41 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 Open Ticket Request System存在多个跨站点请求伪造漏洞

CVE编号

CVE-2014-1694

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-02-05

漏洞描述

OTRS全称为Open Ticket Request System，是用于管理用户投诉和售后问题的系统。 OTRS中的Kernel/Modules/中的(1)CustomerPreferences.pm，(2)CustomerTicketMessage.pm，(3)CustomerTicketProcess.pm，(4)CustomerTicketZoom.pm文件中存在跨站请求伪造漏洞。允许远程攻击者劫持的任意用户创建门票或发送后续请求的身份验证劫机的任意用户身份验证请求，创建门票或发送跟进现有的门票。

解决建议

Open Ticket Request System 3.1.19已修复此漏洞，建议用户下载使用：http://otrs.org/

参考链接
http://bugs.otrs.org/show_bug.cgi?id=10099
http://osvdb.org/102632
http://secunia.com/advisories/56644
http://secunia.com/advisories/56655
http://www.debian.org/security/2014/dsa-2867
http://www.openwall.com/lists/oss-security/2014/01/29/15
http://www.openwall.com/lists/oss-security/2014/01/29/7
https://github.com/OTRS/otrs/commit/6f324aaf8647729d509eebf063a0181f9f9196f7
https://github.com/OTRS/otrs/commit/92f417277f43832f1a0462f2485fe1fd3fd52312
https://github.com/OTRS/otrs/commit/ca2c3390fd60d9a3f810ed2c22cbc2c193457b77
https://www.otrs.com/release-notes-otrs-help-desk-3-3-4
https://www.otrs.com/security-advisory-2014-01-csrf-issue-customer-web-interface

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	otrs	otrs	3.1.0	-
	运行在以下环境
	应用	otrs	otrs	3.1.1	-
	运行在以下环境
	应用	otrs	otrs	3.1.10	-
	运行在以下环境
	应用	otrs	otrs	3.1.11	-
	运行在以下环境
	应用	otrs	otrs	3.1.13	-
	运行在以下环境
	应用	otrs	otrs	3.1.14	-
	运行在以下环境
	应用	otrs	otrs	3.1.15	-
	运行在以下环境
	应用	otrs	otrs	3.1.16	-
	运行在以下环境
	应用	otrs	otrs	3.1.17	-
	运行在以下环境
	应用	otrs	otrs	3.1.18	-
	运行在以下环境
	应用	otrs	otrs	3.1.2	-
	运行在以下环境
	应用	otrs	otrs	3.1.3	-
	运行在以下环境
	应用	otrs	otrs	3.1.4	-
	运行在以下环境
	应用	otrs	otrs	3.1.5	-
	运行在以下环境
	应用	otrs	otrs	3.1.6	-
	运行在以下环境
	应用	otrs	otrs	3.1.7	-
	运行在以下环境
	应用	otrs	otrs	3.1.8	-
	运行在以下环境
	应用	otrs	otrs	3.1.9	-
	运行在以下环境
	应用	otrs	otrs	3.2.0	-
	运行在以下环境
	应用	otrs	otrs	3.2.1	-
	运行在以下环境
	应用	otrs	otrs	3.2.10	-
	运行在以下环境
	应用	otrs	otrs	3.2.2	-
	运行在以下环境
	应用	otrs	otrs	3.2.3	-
	运行在以下环境
	应用	otrs	otrs	3.2.4	-
	运行在以下环境
	应用	otrs	otrs	3.2.5	-
	运行在以下环境
	应用	otrs	otrs	3.2.6	-
	运行在以下环境
	应用	otrs	otrs	3.2.7	-
	运行在以下环境
	应用	otrs	otrs	3.2.8	-
	运行在以下环境
	应用	otrs	otrs	3.2.9	-
	运行在以下环境
	应用	otrs	otrs	3.3.0	-
	运行在以下环境
	应用	otrs	otrs	3.3.1	-
	运行在以下环境
应用	otrs	otrs	3.3.2	-
运行在以下环境
应用	otrs	otrs	3.3.3	-
运行在以下环境
系统	debian	DPKG	*		Up to (excluding) 3.3.4-1
运行在以下环境
系统	debian_10	otrs2	*		Up to (excluding) 3.3.4-1
运行在以下环境
系统	debian_11	otrs2	*		Up to (excluding) 3.3.4-1
运行在以下环境
系统	debian_6	otrs2	*		Up to (excluding) 2.4.9+dfsg1-3+squeeze5
运行在以下环境
系统	debian_7	otrs2	*		Up to (excluding) 3.1.7+dfsg1-8+deb7u4
运行在以下环境
系统	ubuntu_14.04.6_lts	otrs2	*		Up to (excluding) 3.3.5-1
运行在以下环境
系统	ubuntu_16.04.7_lts	otrs2	*		Up to (excluding) 3.3.5-1