| Title | OTRS プロジェクトのOTRSにおける複数の脆弱性 |
|---|---|
| Summary | OTRSまたは((OTRS))コミュニティエディションのチケット処理において、ユーザーが制御可能な入力が適切に無効化されていないため、認証済みの攻撃者がチケットアクションに関連する細工されたリクエストパラメータを介して反射型クロスサイトスクリプティング(XSS)攻撃を実行できる可能性があります。攻撃者は細工されたリクエストURLに悪意のあるJavaScriptを注入することで、認証済みエージェントセッションのコンテキスト内で任意のスクリプトコードを実行できます。この問題はOTRSのバージョン7.0.xに影響を及ぼします。なお、((OTRS))コミュニティエディションの6.xおよびそれ以前のバージョンも脆弱であることに注意が必要です。((OTRS))コミュニティエディションをベースとした製品も非常に影響を受ける可能性があります。 |
| Possible impacts | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 1, 2026, midnight |
| Registration Date | June 16, 2026, 1:40 p.m. |
| Last Update | June 16, 2026, 1:40 p.m. |
| CVSS3.0 : 重要 | |
| Score | 7.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:N |
| OTRS プロジェクト |
| OTRS 6.0.32 およびそれ以前 |
| OTRS 7.0.0 から 7.0.49 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月16日] 掲載 |
June 16, 2026, 1:40 p.m. |
| Summary | An improper neutralization of user-controllable input in OTRS or ((OTRS)) Community Edition ticket handling allows authenticated attackers to perform reflected cross-site scripting (XSS) attacks via crafted request parameters associated with ticket actions. By injecting malicious JavaScript into manipulated request URLs, attackers can execute arbitrary script code in the context of an authenticated agent session when the crafted link is opened. This issue affects OTRS: * 7.0.x Please note that ((OTRS)) Community Edition 6.x and before are vulnerable. Products based on the ((OTRS)) Community Edition also very likely to be affected |
|---|---|
| Publication Date | June 1, 2026, 1:16 p.m. |
| Registration Date | June 2, 2026, 4:17 a.m. |
| Last Update | June 2, 2026, 3:12 a.m. |