Ticketsystem OTRS: Angreifer können unverschlüsselte Passwörter einsehen
Die Entwickler des Open Ticket Request System haben mehrere Sicherheitslücken geschlossen.
(Bild: Artur Szczybylo/Shutterstock.com)
Admins, die Helpdesks mit dem Open Ticket Request System (OTRS) beaufsichtigen, sollten aus Sicherheitsgründen aktuelle Versionen der Ticketsystemsoftware installieren.
Geschlossenen Lücken
Im Sicherheitscenter von OTRS listen die Entwickler drei mittlerweile geschlossene Sicherheitslücken auf. Am gefährlichsten gilt eine Kennwort-Schwachstelle (CVE-2024-4344 "hoch"). Unter bestimmten Voraussetzungen, etwa, wen das Debugging für das Authentifizierungsbackend aktiv ist, können Angreifer unter anderem Klartext-Passwörter von Kunden im OTRS-Admin-Log-Modul einsehen.
Darüber hinaus sind noch zwei persistente XSS-Attacken möglich (CVE-2024-43442 "mittel", CVE-2024-43443 "mittel"), die auf Admins abzielen. Dafür müssen Angreifer aber bereits selbst über Admin-Rechte verfügen.
Die Entwickler geben an, die Sicherheitsprobleme in den OTRS-Ausgaben 2024.6.x und 7.0.51 gelöst zu haben.
(des)
