SECURITY ADVISORY

OTOBO 10.1.17 – Security Patch

[Security] Aktualisierung von Compress::Raw::Zlib zur Behebung von CVE-2026-3381 in Docker-Umgebungen – Wir haben die Abhängigkeit Compress::Raw::Zlib aktualisiert, um eine Sicherheitslücke zu schließen, die Docker-basierte OTOBO-Installationen betreffen konnte. Nicht-Docker-Systeme sind in der Regel nicht betroffen. [#5269]
[Security] Aktualisierung von Mozilla::CA – Wir haben die optionale Abhängigkeit Mozilla::CA, die an einigen Stellen als Standard-Konfigration vorgeschlagen wird, auf die aktuelle Version aktualisiert, um die Zertifikatsbasis aktuell zu halten. [#5245]
[Security] CVE-2025-59490: Behebung von XSS-Sicherheitslücken – Wir haben Cross-Site-Scripting-Schwachstellen (XSS) geschlossen, über die Angreifer durch manipulierte Links schadhaften Code im Browser von Nutzern ausführen konnten. Allen Nutzern wird ein Update auf diese Version empfohlen.. [#5358, #5419]
[Security] CVE-2025-59393: Verbesserte Maskierung von Passwörtern im Support-Bundle-Generator – Wir haben sichergestellt, dass Passwörter und sensible Zugangsdaten beim Erstellen eines Support-Bundles zuverlässiger unkenntlich gemacht werden, um ein versehentliches Weitergeben von Zugangsdaten zu verhindern. [#5376]
[Security] Entfernung von Stack-Traces aus Frontend-Fehlermeldungen – Stack-Traces in Fehlermeldungen des Frontends werden nicht mehr an Nutzer ausgegeben, da sie interne Systeminformationen preisgeben und so potenziell als Angriffsfläche dienen konnten. [#5359]

[Enhancement] Anzeige von Informationen über den Perl DBI-Datenbanktreiber in den Support-Daten – Die Support-Daten enthalten nun detaillierte Informationen über den verwendeten Perl DBI-Datenbanktreiber, was die Fehlerdiagnose und den Support-Prozess erleichtert. [#5104]
[Enhancement] Bereitstellung der URL otobo-web/static zur Auslieferung statischer Dateien – Statische Dateien können nun über die dedizierte URL otobo-web/static ausgeliefert werden, was eine flexiblere und performantere Konfiguration der Webserver-Infrastruktur ermöglicht. [#5342]
[Enhancement] Neuer Konsolenbefehl Maint::Elasticsearch::TestConnection – Mit dem neuen Konsolenbefehl kann die Verbindung zu Elasticsearch direkt über die Kommandozeile getestet werden, was die Administration und Fehlersuche bei Elasticsearch-Integrationen vereinfacht. [#5340]

[Bugfix] Fehlerhafte Links zu externen Icons und Datenleck – Defekte Verlinkungen zu externen Icons wurden korrigiert und ein damit verbundenes Datenleck geschlossen. [#5212]
[Bugfix] Per URL gesetzte Queue löste ACLs in CustomerTicketMessage nicht korrekt aus – Wenn eine Queue über einen URL-Parameter gesetzt wurde, wurden zugehörige ACLs im CustomerTicketMessage-Bereich nicht zuverlässig angewendet. Dieser Fehler wurde behoben. [#5237]
[Bugfix] Name des Bearbeiters fehlte in der Historie einer Systemkonfigurationseinstellung – In der Änderungshistorie von Systemkonfigurationseinstellungen wurde der Name der Person, die die Änderung vorgenommen hat, nicht angezeigt. Dieser Fehler wurde behoben. [#5071]
[Bugfix] Elasticsearch-Index tmpattachments wurde nicht von OTOBO verwaltet – Der Elasticsearch-Index tmpattachmentswurde bislang nicht durch OTOBO verwaltet und konnte so zu Inkonsistenzen führen. Dies wurde korrigiert, sodass der Index nun vollständig im OTOBO-Verwaltungskreis liegt. [#4326]

Wir empfehlen den Fix der Schwachstelle durchzuführen. Bitte aktualisieren Sie Ihr System.

in umfassender Überblick über alle aktuellen und vergangenen Änderungen.

Für unsere Support-Kunden: Einfach über das Portal melden oder kurz anrufen – wir sind für Sie da.

Sie arbeiten noch nicht mit uns? Vielleicht ist jetzt der perfekte Zeitpunkt. Gern unterstützen wir Sie beim nächsten Update.

Melden Sie sich – wir freuen uns auf Sie!