Daniel Triznafor

**Nome do Software Vulnerável e Versões Afetadas** OTRS versões 7.0.x até 2026.3.x OTRS Community Edition versão 6.0.x **Descrição** Uma validação de entrada inadequada no módulo da camada de banco de dados permite uma injeção de SQL não autenticada, que pode levar ao bypass de autenticação. Isso permite que atacantes personifiquem qualquer usuário e acessem todos os tickets e dados sensíveis. O problema ocorre apenas se o servidor MySQL/MariaDB estiver configurado com o modo SQL `NO BACKSLASH ESCAPES` habilitado. **Recomendações** Atualize o OTRS para a versão 2026.4 ou superior. Como mitigação temporária, certifique-se de que o servidor MySQL/MariaDB não esteja operando com o modo SQL `NO BACKSLASH ESCAPES` habilitado.

**Nome do Software Vulnerável e Versões Afetadas** OTRS versões 7.0.X OTRS versões 8.0.X OTRS versões 2023.X OTRS versões 2024.X OTRS versões 2025.X OTRS versões anteriores a 2026.4.X OTRS Community Edition versões 6.x e anteriores **Description** A neutralização inadequada de conteúdo SVG ativo na renderização de artigos de tickets permite que atacantes injetem payloads SVG especialmente criados por meio de conteúdo de e-mail. Isso leva ao esgotamento de recursos no lado do navegador e à negação de serviço quando um agente ou cliente abre os tickets afetados. O problema não requer a execução de JavaScript e não é mitigado pela Política de Segurança de Conteúdo (CSP) configurada, que é uma camada de segurança que ajuda a detectar e mitigar certos tipos de ataques, incluindo Cross Site Scripting (XSS) e ataques de injeção de dados. **Recommendations** Atualizar as versões 7.0.X, 8.0.X, 2023.X, 2024.X e 2025.X do OTRS para uma versão que contenha a correção. Atualizar a versão 2026.X do OTRS para a versão 2026.4.X ou posterior. Atualizar a versão 6.x e anteriores do OTRS Community Edition para uma versão corrigida.