Open Ticket Request System bis 5.0.35/6.0.18/7.0.7 Notification Tag Template Hash erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.4$0-$5k0.00

In Open Ticket Request System bis 5.0.35/6.0.18/7.0.7 (Ticket Tracking Software) wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Das betrifft ein unbekannter Codeblock der Komponente Notification Tag Template Handler. Dank der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Hash) ausgenutzt werden. CWE definiert das Problem als CWE-255. Das hat Auswirkungen auf die Vertraulichkeit. CVE fasst zusammen:

An issue was discovered in Open Ticket Request System (OTRS) 7.0.x through 7.0.8, and Community Edition 5.0.x through 5.0.36 and 6.0.x through 6.0.19. An attacker who is logged into OTRS as an agent user with appropriate permissions can leverage OTRS notification tags in templates in order to disclose hashed user passwords.

Die Schwachstelle wurde am 21.08.2019 (Website) an die Öffentlichkeit getragen. Das Advisory kann von community.otrs.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 09.07.2019 mit CVE-2019-13458 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1552.

Ein Upgrade auf die Version 5.0.36, 6.0.19 oder 7.0.8 vermag dieses Problem zu beheben.

Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-140535.

Produktinfo

Typ

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.5
VulDB Meta Temp Score: 4.4

VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 6.5
NVD Vector: 🔍

CNA Base Score: 2.7
CNA Vector (MITRE): 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Name: Hash
Klasse: Erweiterte Rechte / Hash
CWE: CWE-255
CAPEC: 🔍
ATT&CK: 🔍

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Open Ticket Request System 5.0.36/6.0.19/7.0.8

Timelineinfo

09.07.2019 🔍
21.08.2019 +43 Tage 🔍
22.08.2019 +1 Tage 🔍
28.11.2023 +1559 Tage 🔍

Quelleninfo

Advisory: DLA 3551-1
Status: Nicht definiert
Bestätigung: 🔍

CVE: CVE-2019-13458 (🔍)
Siehe auch: 🔍

Eintraginfo

Erstellt: 22.08.2019 09:24
Aktualisierung: 28.11.2023 10:23
Anpassungen: 22.08.2019 09:24 (58), 02.08.2020 14:56 (1), 28.11.2023 10:17 (4), 28.11.2023 10:23 (12)
Komplett: 🔍
Cache ID: 3:E17:103

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!