| Summary | Multiple cross-site scripting (XSS) vulnerabilities in Open Ticket Request System (OTRS) Help Desk 2.4.x before 2.4.13, 3.0.x before 3.0.15, and 3.1.x before 3.1.9, and OTRS ITSM 2.1.x before 2.1.5, 3.0.x before 3.0.6, and 3.1.x before 3.1.6, allow remote attackers to inject arbitrary web script or HTML via an e-mail message body with (1) a Cascading Style Sheets (CSS) expression property in the STYLE attribute of an arbitrary element or (2) UTF-7 text in an HTTP-EQUIV="CONTENT-TYPE" META element. |
|---|---|
| Publication Date | Aug. 23, 2012, 7:32 p.m. |
| Registration Date | Jan. 28, 2021, 2:58 p.m. |
| Last Update | Nov. 21, 2024, 10:39 a.m. |
| CVSS2.0 : MEDIUM | |
| Score | 4.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:N/I:P/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | はい |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:otrs:otrs:2.4.0:beta6:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.0:beta5:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.12:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.0:beta3:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.9:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.0:beta2:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.11:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.0:beta4:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.8:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.0:beta1:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:2.4.7:*:*:*:*:*:*:* | |||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:a:otrs:otrs:3.0.12:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.0:beta1:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.11:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.0:beta3:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.0:beta6:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.13:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.0:beta2:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.0:beta4:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.8:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.14:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.9:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.0:beta5:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.0.0:beta7:*:*:*:*:*:* | |||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:a:otrs:otrs:3.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.1.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.1.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.1.7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.1.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.1.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.1.8:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs:3.1.5:*:*:*:*:*:*:* | |||||
| Configuration4 | or higher | or less | more than | less than | |
| cpe:2.3:a:otrs:otrs_itsm:2.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs_itsm:3.1.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs_itsm:3.0.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs_itsm:3.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs_itsm:3.1.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs_itsm:2.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs_itsm:3.0.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs_itsm:3.1.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs_itsm:2.1.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs_itsm:3.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs_itsm:3.0.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs_itsm:2.1.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs_itsm:3.1.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs_itsm:2.1.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs_itsm:3.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs_itsm:3.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:otrs:otrs_itsm:3.0.0:*:*:*:*:*:*:* | |||||
| Title | Open Technology Real Services にクロスサイトスクリプティングの脆弱性 |
|---|---|
| Summary | Open Technology Real Services には、クロスサイトスクリプティングの脆弱性が存在します。 Open Technology Real Services には、メール本文の処理に問題があり、クロスサイトスクリプティングの脆弱性が存在します。 なお、本脆弱性を使用して Internet Explorer 上でスクリプトを実行する攻撃コードが公開されています。 |
| Possible impacts | 細工されたメールを読む込むことで、ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとにアップデートしてください。 |
| Publication Date | Aug. 23, 2012, midnight |
| Registration Date | Aug. 24, 2012, 3:47 p.m. |
| Last Update | Nov. 16, 2012, 10:19 a.m. |
| OTRS プロジェクト |
| OTRS Help Desk 2.4.13 より前のバージョン |
| OTRS Help Desk 3.0.15 より前のバージョン |
| OTRS Help Desk 3.1.9 より前のバージョン |
| OTRS ITSM 2.1.5 より前のバージョン |
| OTRS ITSM 3.0.6 より前のバージョン |
| OTRS ITSM 3.1.6 より前のバージョン |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年08月24日] 掲載 [2012年11月16日] ベンダ情報:Debian (DSA-2536) を追加 ベンダ情報:openSUSE (openSUSE-SU-2012:1105) を追加 |
Feb. 17, 2018, 10:37 a.m. |