SECURITY ADVISORY
- VERÖFFENTLICHUNGSDATUM:
- RELEASE-TYP:
- KRITIKALITÄT:
- BETROFFENE VERSIONEN:
- REFERENZ:
- 18. April 2024
- Security Patch Release
- HIGH
- OTOBO 10.1
OTOBO 10.0 - https://www.cve.org/CVERecord?id=CVE-2024-32491
Beschreibung
Problem
- Behebung einer Schwachstelle, die es angemeldeten Benutzern durch Ausnutzen einer path traversal-Schwachstelle möglich gemacht hat, eine code injection durchzuführen. Die OTOBO-Standardkonfiguration ist nicht betroffen, zutreffend ist das nur für Systeme auf denen die SysConfig “WebUploadCacheModule” auf “Kernel::System::Web::UploadCache::FS” gesetzt ist (CVE-2024-32491) [#3309].
Vielen Dank an Martino Spagnuolo für das Melden der Sicherheitslücke.
Mögliche Folgen
- Code Injection
Gegenmaßnahmen
Update auf OTOBO 10.1.10
Für den Fix der Schwachstelle steht ein Security Patch Update zur Verfügung. Bitte aktualisieren Sie Ihr System.
Bug Fixes
- [Bugfix] Korrektur der Sortierung, damit die SysConfig-Suche korrekt funktioniert [#3277]
Ihre Fragen klären wir gerne. Schreiben Sie uns.
Sie sind Supportkunde und benötigen Unterstützung für den Security Patch. Bitte kontaktieren Sie uns über Ihren Zugang im Supportportal.
Downloads
Unternehmen
OTOBO | Empower Service Excellence to Make People Smile.
Die Source Code Owner und Maintainer hinter OTOBO.
Software
Service Management-Plattform
OTOBO Demo
OTOBO Download
OTOBO Dokumentation
Security-Problem melden:
security@otobo.org