SECURITY ADVISORY
- VERÖFFENTLICHUNGSDATUM:
- RELEASE-TYP:
- KRITIKALITÄT:
- BETROFFENE VERSIONEN:
- REFERENZ:
- 05.10.2023
- Security Patch Release
- MEDIUM
- OTOBO 10.1
- https://nvd.nist.gov/vuln/detail/CVE-2023-5421
Einzuschleusen von JS-Code über die Kundenverwaltung
Beschreibung
Problem
XSS Schwachstelle: Ein Angreifer, der als Benutzer mit Rechten zum Anlegen und Ändern von Kundendaten eingeloggt ist, könnte das CustomerID-Feld manipulieren, um JavaScript-Code auszuführen, der unmittelbar nach dem Speichern der Daten ausgeführt wird. Das Problem tritt nur auf, wenn die Konfiguration für AdminCustomerUser::UseAutoComplete zuvor geändert wurde.
Vielen Dank an Tim Püttmanns (maxence), der uns auf die Schwachstelle aufmerksam gemacht hat.
Mögliche Folgen
Direkte Ausführung des JS-Codes nach dem Speichern.
Gegenmaßnahmen
Update auf OTOBO 10.1.8
Für den Fix der Schwachstelle steht ein Security Patch Update zur Verfügung. Bitte aktualisieren Sie Ihr System.
Bug Fixes
- [Enhancement] Ergänzung eines optionalen Leeways, d. h. eines Puffers für die Überprüfung von Zeitstempeln im Rahmen der Authentifizierung über OpenID Connect.
- [Translation] Übersetzungen ins Arabische (Saudi Arabien), Deutsche, Französische, Japanische, Norwegische, Polnische, Russische. Dank an die Community.
- [Bugfix] Beheben eines Fehlers, durch den Kunden nach der Anpassung ihrer Daten im Agenten Interface via AdminCustomerUser zur Änderung ihres Passwortes aufgefordert wurden.
- [Bugfix] Korrektur der Nutzung der Option ‘AuthSyncModule::LDAP::GroupDN’.
- [Bugfix] Ermöglichen der Nutzung dynamischer Felder in der ElasticSearch-Suche. Vielen Dank an wetzf für den Pull Request.
- [Bugfix] Ausblenden der Antworten-Schaltfläche in CustomerTicketZoom für geschlossene Tickets, die nicht wiedereröffnet werden können.
- [Bugfix] Beheben eines Fehlers in der SysConfig, der die Funktionsweise von Schlüsseln mit ### im Frontend einschränkte.
Ihre Fragen klären wir gerne. Schreiben Sie uns.
Sie sind Supportkunde und benötigen Unterstützung für den Security Patch. Bitte kontaktieren Sie uns über Ihren Zugang im Supportportal.
Downloads
Unternehmen
OTOBO | Empower Service Excellence to Make People Smile.
Die Source Code Owner und Maintainer hinter OTOBO.
Software
Service Management-Plattform
OTOBO Demo
OTOBO Download
OTOBO Dokumentation
Security-Problem melden:
security@otobo.org
