SECURITY ADVISORY
- VERÖFFENTLICHUNGSDATUM:
- RELEASE TYPE:
- KRITIKALITÄT:
- BETROFFENE VERSIONEN:
- 25. September 2025
- Security Patch Release
- MEDIUM
- OTOBO 11.0
Security Fix
- [Security | medium] Behebung einer möglichen Rechteausweitung über backup.pl
Wir haben eine potenzielle Sicherheitslücke geschlossen, die – nur auf Systemen, die so konfiguriert sind, dass backup.pl mit Root-Rechten von beliebigen Benutzern ausgeführt werden kann (z. B. durch Anpassungen in der sudoers-Datei) – eine Befehlsinjektion ermöglichte, mit der Standardnutzer auf dem OTOBO-Server beliebige Kommandos mit Root-Rechten ausführen konnten.
Standardsysteme sind nicht betroffen.
Dank an Diego Berger Tellaroli für den Hinweis! [#4619]
- [Security | medium] Falsche Gruppenzuweisung bei LDAP-Sync mit Nested Group Search
Wir haben einen Fehler behoben, durch den Benutzern zu viele Gruppen zugeordnet wurden, wenn LDAP-Sync mit aktivierter NestedGroupSearch-Option in derConfig.pmverwendet wurde.
Ursache war ein Bug, durch den verschachtelte Gruppen automatisch auch an Benutzer in der übergeordneten Gruppe vererbt wurden.
Betroffen sind ausschließlich Installationen, die Agenten via LDAP authentifizieren, das LDAP-Sync-Modul nutzen und NestedGroupSearch aktiviert haben.
Standardsysteme ohne diese Konfiguration sind nicht betroffen.
Dank an unseren Partner FREICON für den Hinweis! [#4695]
Verbesserungen
- [Enhancement] Detailliertere Datenbank-Informationen im Support Data Collector
Der Support Data Collector liefert nun erweiterte Informationen zur verwendeten Datenbank. Das erleichtert die Analyse von Systemumgebungen im Supportfall. [#4681]
Changes
- [Change] Angepasste Verlinkung bei Referenz-Dynamikfeldern
Die Zielseiten der Referenz-Dynamikfelder für CustomerUser und CustomerCompany wurden geändert: Statt auf die Administrationsseiten führen die Links nun direkt zu den entsprechenden Informations-Centern. [#4564]
Bug Fixes
- [Bugfix] Mobile Ansicht: Breitenanpassungen für CKEditor und Dateianhänge in den Agent-Ticketmasken wurden korrigiert. [#4607]
- [Bugfix] Dynamische Felder mit Grids: Wir haben einen Fehler behoben, der zu einem Internal Server Error in AgentTicketSearch und Ticket-Übersichten führen konnte. [#4572]
- [Bugfix] Webservices: MultiSelect-Felder funktionieren nun korrekt. [#4668]
- [Bugfix] TicketMenu in AgentTicketZoom: Die Konfiguration der Reihenfolge von Menüeinträgen innerhalb eines Clusters wurde repariert. [#4444]
- [Bugfix] Systemkonfiguration: Das Speichern einer Einstellung als Favorit ist wieder möglich. [#4130]
- [Bugfix] TicketACL::Autoselect: Dynamische Felder, die automatisch ausgewählt wurden, werden nun korrekt verborgen – auch wenn sie Teil eines Sets oder Multivalue-Feldes sind. [#4485]
- [Bugfix] Artikel-Tabelle: Wenn die Erstellung eines Artikels fehlschlägt, wird die Tabelle nun sauber aufgeräumt. [#4596]
- [Bugfix] Referenzfelder: Das Erstellen von Standard-Links funktioniert jetzt auch bei MultiValue-Feldern. [#4590]
- [Bugfix] Übersetzungen: Services und SLAs werden an weiteren Stellen korrekt übersetzt angezeigt. [#4580]
- [Bugfix] Transition Actions: Das Übergeben von
DynamicField_Name_Datafunktioniert wieder wie vorgesehen. [#4577] - [Bugfix] AgentTicketArticleEdit hat nicht alle Artikeleinschränkungen korrekt durchgesetzt. (Ein Agent, der Eigentümer eines Tickets war, konnte fälschlicherweise z. B. auch E-Mail-Artikel bearbeiten.) [#4722]
- [Bugfix] Validierung von mehrwertigen Pflichtfeldern vereinheitlicht: Die Backend-Validierung wurde an die Frontend-Validierung angepasst. Zuvor konnte ein Pflichtfeld wie
['A','','C']gespeichert werden, da es technisch als „Wert vorhanden“ galt – auch wenn ein Index leer blieb. [#4515] - [Bugfix] Darstellung von Code-Blöcken in Monospace: Code-Blöcke wurden in der HTML-Ansicht von Zoom-Masken und im CKEditor 5 nicht in
Monospaceangezeigt. [#4405]
Nächste Schritte
Update auf OTOBO 11.0.12
Wir empfehlen den Fix der Schwachstelle durchzuführen. Bitte aktualisieren Sie Ihr System.
OTOBO 11.0 Change Log
in umfassender Überblick über alle aktuellen und vergangenen Änderungen.
Security Patch? System-Update?
Das müssen Sie nicht allein erledigen.
Für unsere Support-Kunden: Einfach über das Portal melden oder kurz anrufen – wir sind für Sie da.
Sie arbeiten noch nicht mit uns? Vielleicht ist jetzt der perfekte Zeitpunkt. Gern unterstützen wir Sie beim nächsten Update.
Melden Sie sich – wir freuen uns auf Sie!
Unternehmen
OTOBO | Simplify work and create exceptional service experiences.
Die Source Code Owner und Maintainer hinter OTOBO.
Software
Service Management-Plattform
OTOBO Demo
OTOBO Download
OTOBO Dokumentation
Security-Problem melden:
security@otobo.org
