Avis du CERT-FR

Objet: Vulnérabilité dans OTRS

Gestion du document

Référence	CERTA-2010-AVI-059
Titre	Vulnérabilité dans OTRS
Date de la première version	09 février 2010
Date de la dernière version	09 février 2010
Source(s)	Bulletin de sécurité OSA-2010-01 du 08 février 2010
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Élévation de privilèges.

Systèmes affectés

OTRS 2.x.

Résumé

Une vulnérabilité présente dans OTRS permet à un utilisateur malveillant d'élever ses privilèges.

Description

Une erreur de filtrage des entrées permet à un utilisateur malveillant d'injecter des requêtes SQL et de devenir administrateur. L'attaquant doit disposer d'une session Agent ou Customer valide.

Solution

Les version 2.4.7, 2.3.5, 2.2.9 et 2.1.9 résolvent le problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité OSA-2010-01 du 08 février 2010 :
```
http://otrs.org/advisory/OSA-2010-01-en/
```

Référence CVE CVE-2010-0438 :

https://www.cve.org/CVERecord?id=CVE-2010-0438

Gestion détaillée du document

le 09 février 2010: version initiale.