| タイトル | OTRS プロジェクトのOTRSにおける複数の脆弱性 |
|---|---|
| 概要 | OTRSまたは((OTRS))コミュニティエディションのチケット処理において、ユーザーが制御可能な入力が適切に無効化されていないため、認証済みの攻撃者がチケットアクションに関連する細工されたリクエストパラメータを介して反射型クロスサイトスクリプティング(XSS)攻撃を実行できる可能性があります。攻撃者は細工されたリクエストURLに悪意のあるJavaScriptを注入することで、認証済みエージェントセッションのコンテキスト内で任意のスクリプトコードを実行できます。この問題はOTRSのバージョン7.0.xに影響を及ぼします。なお、((OTRS))コミュニティエディションの6.xおよびそれ以前のバージョンも脆弱であることに注意が必要です。((OTRS))コミュニティエディションをベースとした製品も非常に影響を受ける可能性があります。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月1日0:00 |
| 登録日 | 2026年6月16日13:40 |
| 最終更新日 | 2026年6月16日13:40 |
| CVSS3.0 : 重要 | |
| スコア | 7.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:N |
| OTRS プロジェクト |
| OTRS 6.0.32 およびそれ以前 |
| OTRS 7.0.0 から 7.0.49 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月16日] 掲載 |
2026年6月16日13:40 |
| 概要 | An improper neutralization of user-controllable input in OTRS or ((OTRS)) Community Edition ticket handling allows authenticated attackers to perform reflected cross-site scripting (XSS) attacks via crafted request parameters associated with ticket actions. By injecting malicious JavaScript into manipulated request URLs, attackers can execute arbitrary script code in the context of an authenticated agent session when the crafted link is opened. This issue affects OTRS: * 7.0.x Please note that ((OTRS)) Community Edition 6.x and before are vulnerable. Products based on the ((OTRS)) Community Edition also very likely to be affected |
|---|---|
| 公表日 | 2026年6月1日13:16 |
| 登録日 | 2026年6月2日4:17 |
| 最終更新日 | 2026年6月2日3:12 |