Alissa Kim

**Nome do Software Vulnerável e Versões Afetadas** Versões do OTRS anteriores a 8 OTRS Community Edition versão 6.0.x **Descrição** Uma vulnerabilidade na Interface de Administração e na Interface de Agente do OTRS permite injeção de parâmetros para um agente ou usuário administrador autenticado. Este problema afeta várias versões do OTRS, incluindo OTRS 7.0.X, OTRS 8.0.X, OTRS 2023.X, OTRS 2024.X e OTRS 2025.X. Produtos baseados no OTRS Community Edition também provavelmente serão afetados. **Recomendações** Para versões do OTRS anteriores a 8, atualize para a versão 8 ou posterior para resolver o problema. Para o OTRS Community Edition versão 6.0.x, considere atualizar para uma versão mais recente ou aplicar patches disponíveis para mitigar o risco. Como solução alternativa temporária, considere restringir o acesso à Interface de Administração e à Interface de Agente para agentes e usuários administradores autenticados até que um patch esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OTRS 7.0.X até 2025.x **Descrição** Uma vulnerabilidade no Servidor de Aplicação OTRS permite o sequestro de sessão devido à falta de atributos para configurações de cookies sensíveis em sessões HTTPS. Isso pode ocorrer quando uma requisição é feita para um endpoint do OTRS a partir de um site possivelmente malicioso, resultando no envio do cookie de autenticação e na realização de uma operação de leitura indesejada. **Recomendações** Para as versões do OTRS 7.0.X até 2025.x, considere restringir o acesso às configurações de cookies sensíveis para minimizar o risco de sequestro de sessão até que um patch esteja disponível. Como solução temporária, revise e ajuste as configurações de sessão HTTPS para incluir atributos adequados para cookies sensíveis.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OTRS 7.0.X até 8.0.X Versões do OTRS 2023.X até 2024.X **Descrição** O problema está relacionado a uma vulnerabilidade no Servidor de Aplicação do OTRS e nas configurações de proxy reverso, que permite o sequestro de sessão devido à ausência de atributos nas configurações de cookies sensíveis em sessões HTTPS. Isso pode permitir que um atacante remoto sequestre sessões. **Recomendações** Para as versões 7.0.X do OTRS, atualize as configurações de proxy reverso para incluir os atributos necessários para configurações de cookies sensíveis. Para as versões 8.0.X do OTRS, garanta que as sessões HTTPS tenham os atributos corretos definidos para cookies sensíveis. Para as versões 2023.X e 2024.X do OTRS, aplique as alterações de configuração recomendadas nas configurações de proxy reverso para mitigar o problema. Como medida temporária, considere restringir o acesso a áreas sensíveis da aplicação até que o problema seja totalmente resolvido.

**Name of the Vulnerable Software and Affected Versions** OTRS versions 6.0.x through 8.0.x OTRS versions 2023.x through 2024.x OTRS Community Edition version 6.0.x **Description** The issue is related to the incorrect handling of HTTP request headers due to insufficient input validation, which may allow a remote attacker to upload arbitrary files. This vulnerability can be exploited by uploading or inserting content that would be treated as a different MIME type than intended, as the HTTP response header X-Content-Type-Options is not set to nosniff. **Recommendations** For OTRS versions 6.0.x through 8.0.x, consider setting the HTTP response header X-Content-Type-Options to nosniff to prevent MIME type confusion. For OTRS versions 2023.x through 2024.x, set the HTTP response header X-Content-Type-Options to nosniff to mitigate the risk of exploitation. For OTRS Community Edition version 6.0.x, apply the same mitigation as for the standard OTRS versions by setting the X-Content-Type-Options header to nosniff.