PT-2021-6760 · Otrs Ag · Otrs+1
Julian Droste
+1
·
Publicado
2021-07-26
·
Atualizado
2023-08-31
·
CVE-2021-21440
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
OTRS AG (OTRS) Community Edition, versões 6.0.1 e posteriores
OTRS AG OTRS, versões 7.0.27 e anteriores
OTRS AG OTRS, versões 8.0.14 e anteriores
Descrição
A vulnerabilidade está relacionada à divulgação de informações no sistema de tickets OTRS. Ela permite que um invasor remoto obtenha acesso a dados confidenciais. O problema ocorre quando pacotes de suporte gerados contêm chaves privadas S/MIME e PGP, caso a pasta que os contém não esteja oculta.
Recomendações
Para as versões 6.0.1 e posteriores do OTRS AG (OTRS) Community Edition, considere ocultar a pasta que contém os pacotes para evitar a exposição das chaves privadas.
Para as versões 7.0.27 e anteriores do OTRS AG OTRS, restrinja o acesso aos pacotes de suporte para minimizar o risco de exploração.
Para as versões 8.0.14 e anteriores do OTRS AG OTRS, evite usar o recurso de pacotes de suporte afetado até que o problema seja resolvido.
Como solução alternativa temporária, considere desativar a geração de pacotes de suporte até que um patch esteja disponível.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Otrs
Otrs Community Edition