SECURITY ADVISORY
Einzuschleusen von JS-Code über die Kundenverwaltung
- VERÖFFENTLICHUNGSDATUM:
- RELEASE-TYP:
- KRITIKALITÄT:
- BETROFFENE VERSIONEN:
- REFERENZ:
- 27. März 2024
- Security Patch Release
- LOW
- OTOBO 10.0
- —
Beschreibung
Problem
- Wir fixen eine Schwachstelle, die dazu führte, dass externe Inhalte in der Ticketdetailansicht ohne aktive Zustimmung des Users angezeigt wurden. OTOBO ist nun insgesamt sehr viel strikter im Umgang mit HMTL, das z. B. in Artikeln angezeigt wird.
Vielen Dank an Tim Püttmanns (maxence), der uns auf die Schwachstellen aufmerksam gemacht hat.
Mögliche Folgen
- Anzeige externer Inhalte in Ticketdetails ohne aktive Zustimmung
Gegenmaßnahmen
Update auf OTOBO 10.0.20
Für den Fix der Schwachstelle steht ein Security Patch Update zur Verfügung. Bitte aktualisieren Sie Ihr System.
Bug Fixes
- [Security Enhancement] Update auf CKEditor Version 4.22.1
- [Security Enhancement] Javascript-Tags werden nun aus Links ausgefiltert
- [Bugfix] Behebung eines Bugs, der dazu führte, dass nach der Ticketerstellung in manchen Fällen falsche Ticketattribute in ACLs verwendet wurden
- [Bugfix] Behebung eines Fehlers, der dazu führte, dass in vielen Masken die Standardwerte in Dynamischen Feldern nicht korrekt angezeigt wurden
- und mehr (Changes)
Ihre Fragen klären wir gerne. Schreiben Sie uns.
Sie sind Supportkunde und benötigen Unterstützung für den Security Patch. Bitte kontaktieren Sie uns über Ihren Zugang im Supportportal.
Downloads
Unternehmen
OTOBO | Empower Service Excellence to Make People Smile.
Die Source Code Owner und Maintainer hinter OTOBO.
Software
Service Management-Plattform
OTOBO Demo
OTOBO Download
OTOBO Dokumentation
Security-Problem melden:
security@otobo.org
