SECURITY ADVISORY
- VERÖFFENTLICHUNGSDATUM:
- RELEASE TYPE:
- KRITIKALITÄT:
- BETROFFENE VERSIONEN:
- 23. April 2026
- Security Patch Release
- MEDIUM
- OTOBO 11.0
Security Fixes
- [Security] Aktualisierung von
Compress::Raw::Zlibzur Behebung von CVE-2026-3381 in Docker-Umgebungen – Wir haben die AbhängigkeitCompress::Raw::Zlibaktualisiert, um eine Sicherheitslücke zu schließen, die Docker-basierte OTOBO-Installationen betreffen konnte. Nicht-Docker-Systeme sind in der Regel nicht betroffen. [#5269] - [Security] Aktualisierung von
Mozilla::CA– Wir haben die optionale AbhängigkeitMozilla::CA, die an einigen Stellen als Default-Konfiguration vorgeschlagen wird, auf die aktuelle Version aktualisiert, um die Zertifikatsbasis aktuell zu halten. [#5245] - [Security] CVE-2025-59490: Behebung von XSS-Sicherheitslücken – Wir haben Cross-Site-Scripting-Schwachstellen (XSS) geschlossen, über die Angreifer durch manipulierte Links schadhaften Code im Browser von Nutzern ausführen konnten. Allen Nutzern wird ein Update auf diese Version empfohlen. [#5358, #5419]
- [Security] CVE-2025-59393: Verbesserte Maskierung von Passwörtern im Support-Bundle-Generator – Wir haben sichergestellt, dass Passwörter und sensible Zugangsdaten beim Erstellen eines Support-Bundles zuverlässiger unkenntlich gemacht werden, um ein versehentliches Weitergeben von Zugangsdaten zu verhindern. [#5376]
- [Security] Entfernung von Stack-Traces aus Frontend-Fehlermeldungen – Stack-Traces in Fehlermeldungen des Frontends werden nicht mehr an Nutzer ausgegeben, da sie interne Systeminformationen preisgeben und so potenziell als Angriffsfläche dienen konnten. [#5359]
Verbesserungen
- [Enhancement] Verbesserte Ausgabe im Datenbank-Update-Skript für rel-11_0 – Das Datenbank-Update-Skript für rel-11_0 liefert nun aussagekräftigere Rückmeldungen während der Ausführung, was die Fehlerdiagnose und Nachverfolgung von Update-Vorgängen deutlich erleichtert. [#5208]
- [Enhancement] Unterstützung von Connect-Attributen in Nicht-Haupt-Datenbanken – Verbindungsattribute können nun auch für Nicht-Haupt-Datenbanken konfiguriert werden, was eine flexiblere und feinere Steuerung der Datenbankverbindungen ermöglicht. (Wer in OTOBO mehrere Datenbanken betreibt – z.B. eine separate für Archivdaten – kann nun für jede dieser Datenbanken individuelle Verbindungseinstellungen wie Timeouts oder Zeichensätze festlegen.) [#5110]
Changes
- [Change] E-Mail X-Header als externe Quelle für dynamische Felder – E-Mail X-Header werden nun als externe Datenquelle für dynamische Felder erkannt und verarbeitet. Dies ermöglicht auch dynamische Referenzfelder via E-Mail-Auswertung zu befüllen. [#5164]
Bug Fixes
- [Bugfix] Fehlerhafte Links zu externen Icons und Datenleck – Defekte Verlinkungen zu externen Icons wurden korrigiert und ein damit verbundenes Datenleck geschlossen. [#5212]
- [Bugfix] AgentTicketProcess und CustomerTicketProcess: Anzeige versteckter Felder beim initialen Laden der Seite – Ein Fehler wurde behoben, bei dem versteckte Felder beim erstmaligen Laden der Prozessmaske nicht korrekt eingeblendet wurden. [#5196]
- [Bugfix] Leeway-Parameter wurde beim Dekodieren von JWT-Token nicht übergeben – Der Leeway-Parameter wird nun korrekt an die JWT-Token-Dekodierung weitergegeben, was Probleme bei der Zeittoleranz-Validierung von Tokens behebt. [#5211]
- [Bugfix] DF Ticket-Referenz: CustomerUserID wird nun korrekt auf CustomerUserLogin für die Ticketsuche gemappt – Bei der Ticketsuche über dynamische Felder mit Ticket-Referenz wurde die CustomerUserID nicht korrekt auf den CustomerUserLogin abgebildet. Dieser Fehler wurde behoben. [#5300]
- [Bugfix] DF CustomerUser-Referenz: Externes Quellattribut „E-Mail“ funktionierte nicht – Das Attribut „E-Mail“ als externe Quelle in dynamischen Feldern vom Typ CustomerUser-Referenz wird nun korrekt verarbeitet. [#5273]
- [Bugfix] DF CustomerUser-Referenz: Implementierung von FieldValueValidate – Die Validierungsfunktion
FieldValueValidatewurde für dynamische Felder vom Typ CustomerUser-Referenz implementiert, um eine korrekte Werteprüfung sicherzustellen. [#5277] - [Bugfix] QueueDefault konnte dazu führen, dass DynamicField-Werte nicht gespeichert wurden – Ein Fehler wurde behoben, bei dem die Verwendung von QueueDefault verhinderte, dass Werte in dynamischen Feldern korrekt persistiert wurden. [#4962]
- [Bugfix] Per URL gesetzte Queue löste ACLs in CustomerTicketMessage nicht korrekt aus – Wenn eine Queue über einen URL-Parameter gesetzt wurde, wurden zugehörige ACLs im CustomerTicketMessage-Bereich nicht zuverlässig angewendet. Dieser Fehler wurde behoben. [#5237]
- [Bugfix] Schnelldatum-Schaltflächen funktionierten auf dem Verantwortlichen-Bildschirm nicht – Die Schnelldatum-Buttons waren auf dem Bildschirm zur Zuweisung von Verantwortlichen nicht funktionsfähig. Der Fehler wurde behoben. [#5221]
- [Bugfix] ExternalURLJump: Fragezeichen und Gleichheitszeichen in konfigurierten Links funktionierten nicht – Sonderzeichen wie
?und=in ExternalURLJump-Links wurden nicht korrekt verarbeitet. Dieser Fehler wurde behoben. [#5203] - [Bugfix] Behebung von UI-Problemen mit Labels in CustomerTicketProcess – Verschiedene Darstellungsfehler bei Beschriftungen im CustomerTicketProcess wurden korrigiert. [#4985]
- [Bugfix] Löschen von DynamicField-Anhängen funktionierte im Customer-Interface nicht – Das Entfernen von Anhängen in dynamischen Feldern war im Customer-Interface nicht möglich. Der Fehler wurde behoben. [#5348]
Nächste Schritte
Update auf OTOBO 11.0.16
Wir empfehlen den Fix der Schwachstelle durchzuführen. Bitte aktualisieren Sie Ihr System.
OTOBO 11.0 Change Log
in umfassender Überblick über alle aktuellen und vergangenen Änderungen.
Security Patch? System-Update?
Das müssen Sie nicht allein erledigen.
Für unsere Support-Kunden: Einfach über das Portal melden oder kurz anrufen – wir sind für Sie da.
Sie arbeiten noch nicht mit uns? Vielleicht ist jetzt der perfekte Zeitpunkt. Gern unterstützen wir Sie beim nächsten Update.
Melden Sie sich – wir freuen uns auf Sie!
Unternehmen
OTOBO | Simplify work and create exceptional service experiences.
Die Source Code Owner und Maintainer hinter OTOBO.
Software
Service Management-Plattform
OTOBO Demo
OTOBO Download
OTOBO Dokumentation
Security-Problem melden:
security@otobo.org
