SECURITY ADVISORY
Einzuschleusen von JS-Code über die Kundenverwaltung
- VERÖFFENTLICHUNGSDATUM:
- RELEASE-TYP:
- KRITIKALITÄT:
- BETROFFENE VERSIONEN:
- REFERENZ:
- 05.10.2023
- Security Patch Release
- MEDIUM
- OTOBO 10.0
- https://nvd.nist.gov/vuln/detail/CVE-2023-5421
Beschreibung
Problem
- XSS Schwachstelle: Ein Angreifer, der als Benutzer mit Rechten zum Anlegen und Ändern von Kundendaten eingeloggt ist, könnte das CustomerID-Feld manipulieren, um JavaScript-Code auszuführen, der unmittelbar nach dem Speichern der Daten ausgeführt wird. Das Problem tritt nur auf, wenn die Konfiguration für AdminCustomerUser::UseAutoComplete zuvor geändert wurde.
- Header Injection: Behebung einer Schwachstelle, die – in Systemen mit aktivierten Webservices – eine Header Injection über diese Webservices ermöglichte.
Vielen Dank an Tim Püttmanns (maxence), der uns auf die Schwachstellen aufmerksam gemacht hat.
Mögliche Folgen
- Direkte Ausführung des JS-Codes nach dem Speichern.
- Header Injection über die Webservices.
Gegenmaßnahmen
Update auf OTOBO 10.0.19
Für den Fix der Schwachstelle steht ein Security Patch Update zur Verfügung. Bitte aktualisieren Sie Ihr System.
Bug Fixes
- [Enhancement] Ergänzung eines optionalen Leeways, d. h. eines Puffers für die Überprüfung von Zeitstempeln im Rahmen der Authentifizierung über OpenID Connect.
- [Bugfix] Beheben eines Fehlers, durch den Kunden nach der Anpassung ihrer Daten im Agenten Interface via AdminCustomerUser zur Änderung ihres Passwortes aufgefordert wurden.
- [Bugfix] Korrektur der Nutzung der Option ‘AuthSyncModule::LDAP::GroupDN’.
- [Bugfix] Ermöglichen der Nutzung dynamischer Felder in der ElasticSearch-Suche. Vielen Dank an wetzf für den Pull Request.
Ihre Fragen klären wir gerne. Schreiben Sie uns.
Sie sind Supportkunde und benötigen Unterstützung für den Security Patch. Bitte kontaktieren Sie uns über Ihren Zugang im Supportportal.
Downloads
Unternehmen
OTOBO | Empower Service Excellence to Make People Smile.
Die Source Code Owner und Maintainer hinter OTOBO.
Software
Service Management-Plattform
OTOBO Demo
OTOBO Download
OTOBO Dokumentation
Security-Problem melden:
security@otobo.org