漏洞信息详情
OTRS Email Body 跨站脚本漏洞
- CNNVD编号:CNNVD-201210-416
- 危害等级: 中危
- CVE编号: CVE-2012-4751
- 漏洞类型: 跨站脚本
- 发布时间: 2012-10-19
- 威胁类型: 远程
- 更新时间: 2012-10-24
- 厂 商: otrs
- 漏洞来源: Mike Eduard
漏洞简介
OTRS(Open-source Ticket Request System)是德国OTRS集团的一套开源缺陷跟踪管理系统软件。该软件将电话,邮件等各种渠道提交进来的服务请求归类为不同的队列、服务级别,服务人员通过OTRS系统来跟踪和回复客户。
Open Ticket Request System (OTRS) Help Desk 2.4.15之前的2.4.x版本、3.0.17之前的3.0.x版本、3.1.11之前的3.1.x版本中存在跨站脚本(XSS)漏洞。通过在邮件正文部分某元素(如IFRAME元素)的SRC属性中Javascript: URL之前插入空格,远程攻击者可利用该漏洞注入任意网页脚本或HTML代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://znuny.com/en/#!/advisory/ZSA-2012-03
参考网址
来源:US-CERT Vulnerability Note: VU#603276
名称: VU#603276
链接:http://www.kb.cert.org/vuls/id/603276
来源: znuny.com
链接:http://znuny.com/en/#!/advisory/ZSA-2012-03
来源: znuny.com
链接:http://znuny.com/assets/proof_of_concept_cve_2012-4751-znuny.py
来源: www.otrs.com
链接:http://www.otrs.com/en/open-source/community-news/security-advisories/security-advisory-2012-03/
来源:SECUNIA
名称:51031
链接:http://secunia.com/advisories/51031
来源: BID
名称: 56093
链接:http://www.securityfocus.com/bid/56093
来源:NSFOCUS
名称:21238
链接:http://www.nsfocus.net/vulndb/21238
受影响实体
- Otrs Otrs:3.1.4
- Otrs Otrs:3.1.2
- Otrs Otrs:3.1.5
- Otrs Otrs:3.1.3
- Otrs Otrs:3.1.0
补丁
- otrs-3.1.11
- otrs-3.0.17
- otrs-2.4.11
评论