Se
han publicado los boletines OSA-2014-01 y OSA-2014-02 que afectan a las
versiones OTRS 3.3.x, OTRS 3.2.x y OTRS 3.1.x. Los cuales solucionan
vulnerabilidades con impacto bajo pero que afectan de forma remota.
OTRS es un proyecto de código
abierto destinado a la gestión de tickets. Los tickets pueden llegar bien a
través de teléfono o de correo electrónico, y son gestionados desde una
interfaz web. Una de las grandes ventajas de esta plataforma, es que permite
ser personalizada por medio de diferentes módulos.
Los fallos de seguridad son los
siguientes:
CVE-2014-1694:
Falta de token de seguridad en los módulos CustomerTicketMessage y
CustomerTicketZoom que podría causar un ataque CSRF en la interfaz web de
cliente.
CVE-2014-1471:
Error de comprobación de parámetros en State::StateGetStatesByType() que podría
causar una inyección SQL.
Se recomienda actualizar OTRS a una de las siguientes versiones:
3.3.4, 3.2.14 o 3.1.19
Más información:
Security Advisory 2014-01 – CSRF issue in
customer web interface
Security Advisory 2014-02 – SQL
injection issue
Fernando Castillo
No hay comentarios:
Publicar un comentario