OTRS Security Advisory reports :

This advisory covers vulnerabilities discovered in the OTRS core system. This is a variance of the XSS vulnerability, where an attacker could send a specially prepared HTML email to OTRS which would cause JavaScript code to be executed in your browser while displaying the email. In this case this is achieved by using JavaScript source attributes with whitespaces.

otrs のこのバージョンのアップグレードで、他の複数のセキュリティ以外の問題とともに、クロスサイトスクリプティング（XSS）の欠陥が修正されます。

OTRS セキュリティアドバイザリによる報告：

このアドバイザリは、OTRS コアシステムで発見された脆弱性をカバーしています。これは XSS 脆弱性の変種です。攻撃者が、特別に用意した HTML のメールを OTRS に送信し、これによりメールが表示されているときに JavaScript コードをブラウザで実行する可能性があります。この場合、JavaScript のソース属性を空白として使用することによりこれは可能となります。

This version upgrade of otrs fixed a Cross-Site Scripting (XSS) flaw as well as several other, non-security issues.

OTRS 安全公告报告：

该公告涵盖了 OTRS 核心系统中发现的漏洞。这是 XSS 漏洞的变异，攻击者可利用此漏洞向 OTRS 发送特别编写的 HTML 电子邮件，从而导致显示电子邮件时在浏览器中执行 JavaScript 代码。在这种情况下，使用带空格的 JavaScript 源属性可实现此目的。

OTRS 安全性公告報告：

本公告涵蓋了在 OTRS 核心系統中發現的弱點。這是 XSS 弱點的變體，攻擊者可傳送特別準備的 HTML 電子郵件至 OTRS，導致您的瀏覽器在顯示該電子郵件時，會執行 JavaScript 程式碼。在此情況下，可以使用帶有空白字元的 JavaScript 來源屬性而達到目的。

此 otrs 升級版本可修正一個跨網站指令碼 (XSS) 瑕疵，以及數個其他非安全性問題。

此 otrs 版本升级修复了一个跨站脚本 (XSS) 缺陷，以及多个其他非安全问题。

The OTRS Project reports :

This advisory covers vulnerabilities discovered in the OTRS core system. This is a variance of the XSS vulnerability, where an attacker could send a specially prepared HTML email to OTRS which would cause JavaScript code to be executed in your browser while displaying the email. In this case this is achieved by using JavaScript source attributes with whitespaces.

Affected by this vulnerability are all releases of OTRS 2.4.x up to and including 2.4.14, 3.0.x up to and including 3.0.16 and 3.1.x up to and including 3.1.10.

Updated otrs package fixes security vulnerabilities :

Multiple cross-site scripting (XSS) vulnerabilities in Open Ticket Request System (OTRS) Help Desk 2.4.x before 2.4.13, 3.0.x before 3.0.15, and 3.1.x before 3.1.9, and OTRS ITSM 2.1.x before 2.1.5, 3.0.x before 3.0.6, and 3.1.x before 3.1.6, allow remote attackers to inject arbitrary web script or HTML via an e-mail message body with (1) a Cascading Style Sheets (CSS) expression property in the STYLE attribute of an arbitrary element or (2) UTF-7 text in an HTTP-EQUIV=CONTENT-TYPE META element (CVE-2012-2582).

Cross-site scripting (XSS) vulnerability in Open Ticket Request System (OTRS) Help Desk 2.4.x before 2.4.14, 3.0.x before 3.0.16, and 3.1.x before 3.1.10, when Firefox or Opera is used, allows remote attackers to inject arbitrary web script or HTML via an e-mail message body with nested HTML tags (CVE-2012-4600).

Cross-site scripting (XSS) vulnerability in Open Ticket Request System (OTRS) Help Desk 2.4.x before 2.4.15, 3.0.x before 3.0.17, and 3.1.x before 3.1.11 allows remote attackers to inject arbitrary web script or HTML via an e-mail message body with whitespace before a javascript: URL in the SRC attribute of an element, as demonstrated by an IFRAME element (CVE-2012-4751).

更新 otrs パッケージは、セキュリティの脆弱性を修正します。

2.4.13 より前の 2.4.x、3.0.15 より前の 3.0.x、および 3.1.9 より前の 3.1.x の Open Ticket Request System（OTRS）Help Desk および 2.1.5 より前の 2.1.x、3.0.6 より前の 3.0.x、および 3.1.6 より前の 3.1.x の OTRS ITSM の複数のクロスサイトスクリプティング（XSS）の脆弱性により、リモートの攻撃者が、(1) 任意の要素の STYLE 属性の Cascading Style Sheets（CSS）式プロパティまたは (2) HTTP-EQUIV=CONTENT-TYPE META 要素の UTF-7 テキストを持つメールメッセージ本文を通じて、任意の Web スクリプトまたは HTML を注入することが可能です（CVE-2012-2582）。

2.4.14 より前の 2.4.x、3.0.16 より前の 3.0.x、および 3.1.10 より前の 3.1.x の Open Ticket Request System（OTRS）Help Desk のクロスサイトスクリプティング（XSS）の脆弱性により、Firefox または Opera の使用時、リモートの攻撃者が、ネスト化された HTML タグを持つメールメッセージ本文を通じて、任意の Web スクリプトまたは HTML を注入することが可能です（CVE-2012-4600）。

2.4.15 より前の 2.4.x、3.0.17 より前の 3.0.x、および 3.1.11 より前の 3.1.x の Open Ticket Request System（OTRS）Help Desk のクロスサイトスクリプティング（XSS）の脆弱性により、リモートの攻撃者が、要素の SRC 属性の javascript: URL の前に空白があるメールメッセージ本文を通じて、任意の Web スクリプトまたは HTML を注入することが可能です。これは、IFRAME 要素で実証されています（CVE-2012-4751）。

OTRS プロジェクトによる報告：

このアドバイザリは、OTRS コアシステムで発見された脆弱性をカバーしています。これは XSS 脆弱性の変種です。攻撃者が、特別に用意した HTML のメールを OTRS に送信し、これによりメールが表示されているときに JavaScript コードをブラウザで実行する可能性があります。この場合、JavaScript のソース属性を空白として使用することによりこれは可能となります。

OTRS 2.4.14 以前の 2.4.x、3.0.16 以前の 3.0.x、3.1.10 以前の 3.1.x のすべてのリリースがこの脆弱性の影響を受けます。

更新版 otrs 套件可修正安全性弱點：

在 2.4.13 之前的 2.4.x 版、3.0.15 之前的 3.0.x 版和 3.1.9 之前的 3.1.x 版開放票證要求系統 (OTRS) Help Desk，以及 2.1.5 之前的 2.1.x 版、3.0.6 之前的 3.0.x 版和 3.1.6 之前的 3.1.x 版 OTRS ITSM 中，多個跨網站指令碼 (XSS) 弱點允許遠端攻擊者透過電子郵件訊息內文 (其中含有 (1) 任意元素的 STYLE 屬性中的階層式樣式表 (CSS) 運算式內容，或 (2) HTTP-EQUIV=CONTENT-TYPE META 元素中的 UTF-7 文字)，插入任意 Web 指令碼或 HTML (CVE-2012-2582)。

使用 Firefox 或 Opera 時，在 2.4.14 之前的 2.4.x 版、3.0.16 之前的 3.0.x 版和 3.1.10 之前的 3.1.x 版開放票證要求系統 (OTRS) Help Desk 中，跨網站指令碼 (XSS) 弱點會允許遠端攻擊者透過含有巢狀 HTML 標籤的電子郵件訊息內文，插入任意 Web 指令碼或 HTML (CVE-2012-4600)。

在 2.4.15 之前的 2.4.x 版、3.0.17 之前的 3.0.x 版和 3.1.11 之前的 3.1.x 版開放票證要求系統 (OTRS) Help Desk 中，跨網站指令碼 (XSS) 弱點會允許遠端攻擊者透過電子郵件訊息內文 (其中某元素的 SRC 屬性內 javascript: URL 前有空格)，插入任意 Web 指令碼或 HTML；IFRAME 元素即為一例 (CVE-2012-4751)。

OTRS 專案報告：

本公告涵蓋了在 OTRS 核心系統中發現的弱點。這是 XSS 弱點的變體，攻擊者可傳送特別準備的 HTML 電子郵件至 OTRS，導致您的瀏覽器在顯示該電子郵件時，會執行 JavaScript 程式碼。在此情況下，可以使用帶有空白字元的 JavaScript 來源屬性而達到目的。

受到此弱點影響的是 OTRS 2.4.x 以上的所有版本 (包括 2.4.14)、3.0.x 以上的所有版本 (包括 3.0.16)，以及 3.1.x 以上的所有版本 (包括 3.1.10)。

更新后的 otrs 程序包修复了安全漏洞：

2.4.13 之前的 2.4.x、3.0.15 之前的 3.0.x 和 3.1.9 之前的 3.1.x 版本 Open Ticket Request System (OTRS) Help Desk 以及 2.1.5 之前的 2.1.x、3.0.6 之前的 3.0.x 和 3.1.6 之前的 3.1.x 版本 OTRS ITSM 中存在多种跨站脚本 (XSS) 漏洞，远程攻击者可通过具有 (1) 任意元素的 STYLE 属性中的层叠样式表 (CSS) 表达式属性或 (2) HTTP-EQUIV=CONTENT-TYPE META 元素中的 UTF-7 文本的电子邮件消息正文来注入任意 Web 脚本或 HTML (CVE-2012-2582)。

使用 Firefox 或 Opera 时，2.4.14 之前的 2.4.x、3.0.16 之前的 3.0.x 和 3.1.10 之前的 3.1.x 版本 Open Ticket Request System (OTRS) Help Desk 中存在跨站脚本 (XSS) 漏洞，远程攻击者可通过具有嵌套 HTML 标签的电子邮件消息正文来注入任意 Web 脚本或 HTML (CVE-2012-4600)。

2.4.15 之前的 2.4.x、3.0.17 之前的 3.0.x 和 3.1.11 之前的 3.1.x 版本 Open Ticket Request System (OTRS) Help Desk 中存在跨站脚本 (XSS) 漏洞，远程攻击者可通过元素 SRC 属性中 javascript: URL 之前具有空格的电子邮件消息正文来注入任意 Web 脚本或 HTML，这一点已由 IFRAME 元素证实 (CVE-2012-4751)。

OTRS 项目报告：

该公告涵盖了 OTRS 核心系统中发现的漏洞。这是 XSS 漏洞的变异，攻击者可利用此漏洞向 OTRS 发送特别编写的 HTML 电子邮件，从而导致显示电子邮件时在浏览器中执行 JavaScript 代码。在这种情况下，使用带空格的 JavaScript 源属性可实现此目的。

所有不高于 2.4.14 的 OTRS 2.4.x、不高于 3.0.16 的 OTRS 3.0.x 和不高于 3.1.10 的 OTRS 3.1.x 版本均受到此漏洞的影响。

ID	名稱	產品	系列	已發布	已更新	嚴重性
63369	FreeBSD : otrs -- XSS vulnerability (13320091-52a6-11e2-a289-1c4bd681f0cf)	Nessus	FreeBSD Local Security Checks	2013/1/2	2021/1/6	medium
74831	openSUSE セキュリティ更新：otrs（openSUSE-2012-838）	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	medium
63369	FreeBSD：otrs -- XSS の脆弱性（13320091-52a6-11e2-a289-1c4bd681f0cf）	Nessus	FreeBSD Local Security Checks	2013/1/2	2021/1/6	medium
74831	openSUSE Security Update : otrs (openSUSE-2012-838)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	medium
63369	FreeBSD：otrs -- XSS 漏洞 (13320091-52a6-11e2-a289-1c4bd681f0cf)	Nessus	FreeBSD Local Security Checks	2013/1/2	2021/1/6	medium
63369	FreeBSD：otrs -- XSS 弱點 (13320091-52a6-11e2-a289-1c4bd681f0cf)	Nessus	FreeBSD Local Security Checks	2013/1/2	2021/1/6	medium
74831	openSUSE 安全性更新：otrs (openSUSE-2012-838)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	medium
74831	openSUSE 安全更新：otrs (openSUSE-2012-838)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	medium
64885	FreeBSD : otrs -- XSS vulnerability could lead to remote code execution (84065569-7fb4-11e2-9c5a-000d601460a4)	Nessus	FreeBSD Local Security Checks	2013/2/26	2021/1/6	medium
66124	Mandriva Linux Security Advisory : otrs (MDVSA-2013:112)	Nessus	Mandriva Local Security Checks	2013/4/20	2021/1/6	medium
66124	Mandriva Linux セキュリティアドバイザリ：otrs（MDVSA-2013:112）	Nessus	Mandriva Local Security Checks	2013/4/20	2021/1/6	medium
64885	FreeBSD：otrs - XSSの脆弱性による、リモートのコード実行可能性（84065569-7fb4-11e2-9c5a-000d601460a4）	Nessus	FreeBSD Local Security Checks	2013/2/26	2021/1/6	medium
66124	Mandriva Linux 安全性公告：otrs (MDVSA-2013:112)	Nessus	Mandriva Local Security Checks	2013/4/20	2021/1/6	medium
64885	FreeBSD：otrs -- XSS 弱點可導致遠端程式碼執行 (84065569-7fb4-11e2-9c5a-000d601460a4)	Nessus	FreeBSD Local Security Checks	2013/2/26	2021/1/6	medium
66124	Mandriva Linux 安全公告：otrs (MDVSA-2013:112)	Nessus	Mandriva Local Security Checks	2013/4/20	2021/1/6	medium
64885	FreeBSD：otrs -- XSS 漏洞可导致远程代码执行 (84065569-7fb4-11e2-9c5a-000d601460a4)	Nessus	FreeBSD Local Security Checks	2013/2/26	2021/1/6	medium

偵測

搜尋 Plugin

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium