Se han publicado los boletines OSA-2014-01 y OSA-2014-02 que afectan a
las versiones OTRS 3.3.x, OTRS 3.2.x y OTRS 3.1.x. Los cuales solucionan
vulnerabilidades con impacto bajo pero que afectan de forma remota.
OTRS es un proyecto de código abierto destinado a la gestión de tickets.
Los tickets pueden llegar bien a través de teléfono o de correo
electrónico, y son gestionados desde una interfaz web. Una de las
grandes ventajas de esta plataforma, es que permite ser personalizada
por medio de diferentes módulos.
Los fallos de seguridad son los siguientes:
CVE-2014-1694: Falta de token de seguridad en los módulos
CustomerTicketMessage y CustomerTicketZoom que podría causar un ataque
CSRF en la interfaz web de cliente.
CVE-2014-1471: Error de comprobación de parámetros en
State::StateGetStatesByType() que podría causar una inyección SQL.
Se recomienda actualizar OTRS a una de las siguientes versiones: 3.3.4,
3.2.14 o 3.1.19
Fuente
las versiones OTRS 3.3.x, OTRS 3.2.x y OTRS 3.1.x. Los cuales solucionan
vulnerabilidades con impacto bajo pero que afectan de forma remota.
OTRS es un proyecto de código abierto destinado a la gestión de tickets.
Los tickets pueden llegar bien a través de teléfono o de correo
electrónico, y son gestionados desde una interfaz web. Una de las
grandes ventajas de esta plataforma, es que permite ser personalizada
por medio de diferentes módulos.
Los fallos de seguridad son los siguientes:
CVE-2014-1694: Falta de token de seguridad en los módulos
CustomerTicketMessage y CustomerTicketZoom que podría causar un ataque
CSRF en la interfaz web de cliente.
CVE-2014-1471: Error de comprobación de parámetros en
State::StateGetStatesByType() que podría causar una inyección SQL.
Se recomienda actualizar OTRS a una de las siguientes versiones: 3.3.4,
3.2.14 o 3.1.19
Fuente