Timothy Tjen A Looi

**Nome do Software Vulnerável e Versões Afetadas** Versões do Zammad de 6.4.0 a 6.4.1 **Descrição** A vulnerabilidade permite a ocorrência de Server-Side Request Forgery (SSRF). Usuários administradores autenticados podem habilitar webhooks, que são acionados como requisições POST quando determinadas condições são atendidas. Caso um endpoint de webhook retorne uma resposta de redirecionamento, ela será seguida automaticamente por outra requisição GET. Isso pode ser explorado por um atacante para efetuar requisições GET, por exemplo, na rede local. **Recomendações** Para as versões do Zammad de 6.4.0 a 6.4.1, atualize para a versão 6.4.2 ou superior para resolver o problema. Como solução temporária, considere desativar o recurso de webhook até que uma correção esteja disponível. Restrinja o acesso à configuração do webhook para minimizar o risco de exploração. Evite utilizar o endpoint do webhook na versão afetada do Zammad até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Zammad 6.4.0 a 6.4.1 **Descrição** O problema diz respeito à aplicação de segurança do lado do servidor no lado do cliente no Zammad. Especificamente, quando os usuários alteram sua configuração de autenticação de dois fatores, é necessário reautenticar-se primeiro com a senha atual. No entanto, essa medida de segurança é aplicada apenas no nível de front-end, e não quando a API é utilizada diretamente. **Recomendações** Para as versões do Zammad 6.4.0 a 6.4.1, atualize para a versão 6.4.2 para resolver o problema. Como medida de contorno temporária, considere restringir o acesso direto à API para os usuários até que a atualização seja aplicada.