CVE-2026-48209
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 - wyżej niż 8% wszystkich znanych CVE
Streszczenie
W OTRS lub ((OTRS)) Community Edition występuje niewłaściwe neutralizowanie danych wejściowych kontrolowanych przez użytkownika, co pozwala uwierzytelnionym atakującym na przeprowadzenie ataków typu reflected cross-site scripting (XSS) poprzez spreparowane parametry żądania związane z akcjami biletów.
Ocena ryzyka
Atakujący mogą wstrzykiwać złośliwy kod JavaScript do zmodyfikowanych adresów URL, co prowadzi do wykonania dowolnego kodu skryptowego w kontekście sesji uwierzytelnionego agenta, gdy spreparowany link zostanie otwarty. To stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności systemu.
Rekomendacja
Zaleca się aktualizację OTRS do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy przeprowadzić audyt bezpieczeństwa aplikacji oraz wdrożyć odpowiednie mechanizmy zabezpieczające przed atakami XSS.
Oryginalny opis (angielski, źródło NVD)
An improper neutralization of user-controllable input in OTRS or ((OTRS)) Community Edition ticket handling allows authenticated attackers to perform reflected cross-site scripting (XSS) attacks via crafted request parameters associated with ticket actions. By injecting malicious JavaScript into manipulated request URLs, attackers can execute arbitrary script code in the context of an authenticated agent session when the crafted link is opened. This issue affects OTRS: * 7.0.x Please note that ((OTRS)) Community Edition 6.x and before are vulnerable. Products based on the ((OTRS)) Community Edition also very likely to be affected

