多款OTRS产品HTML注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1167113 漏洞类型 输入验证
发布时间 2013-07-09 更新时间 2013-08-14
CVE编号 CVE-2013-4718 CNNVD-ID CNNVD-201307-224
漏洞平台 N/A CVSS评分 N/A
|漏洞来源
https://www.securityfocus.com/bid/61036
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201307-224
|漏洞详情
OTRS(Open-sourceTicketRequestSystem)是德国OTRS集团的一套开源缺陷跟踪管理系统软件。该软件将电话,邮件等各种渠道提交进来的服务请求归类为不同的队列、服务级别,服务人员通过OTRS系统来跟踪和回复客户。多款OTRS产品中存在HTML注入漏洞,该漏洞源于程序没有过滤用户提交的输入。攻击者可利用该漏洞在受影响站点上下文中运行攻击者提供的HTML或JavaScript代码,可窃取基于cookie的身份认证并控制站点呈现给用户的方式,也可能存在其他形式的攻击。
|受影响的产品
OTRS OTRS 3.0.10 OTRS OTRS 3.0.7 OTRS OTRS 3.0.6 OTRS OTRS 3.0.5 OTRS OTRS 3.0.4 OTRS OTRS 3.0.3 OTRS OTRS 3.0.2 OTRS OTRS 3.0.1
|参考资料

来源:BID
名称:61036
链接:http://www.securityfocus.com/bid/61036