CVE-2026-48190
NiskieCVSS 3.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
Nieprawidłowe zarządzanie uprawnieniami w interfejsie zewnętrznym OTRS oraz module listy ConfigItem pozwala uwierzytelnionemu klientowi na zapytanie systemu o informacje dotyczące CI. Problem występuje tylko, gdy CMDB jest włączone i używana jest obsługa grup klientów.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do wrażliwych informacji o konfiguracji, co może prowadzić do naruszenia prywatności danych klientów oraz potencjalnych problemów z bezpieczeństwem.
Rekomendacja
Zaleca się przegląd i dostosowanie uprawnień w systemie OTRS, aby ograniczyć dostęp do informacji o CI tylko do uprawnionych użytkowników. Należy również rozważyć aktualizację do najnowszej wersji OTRS, aby załatać tę podatność.
Oryginalny opis (angielski, źródło NVD)
An incorrect handling of permissions in OTRS External Interface and the ConfigItem List module allows an authenticated customer to query the system for CI information. Please note that CMDB has to be anabled and CustomerGroupSupport has to be used to be affected. This issue affects OTRS: * 7.0.X * 8.0.X * 2023.X * 2024.X * 2025.X * 2026.X before 2026.4.X

