CVE-2024-49193

Versões do Zendesk anteriores a 02/07/2024

O problema está relacionado a uma falha na autorização do Zendesk, permitindo que invasores remotos leiam o histórico de tickets por meio de falsificação de e-mail. Isso ocorre porque os campos Cc são extraídos das mensagens de e-mail recebidas e usados para conceder autorização adicional para visualização de tickets, sem um mecanismo adequado para detectar mensagens de e-mail falsificadas. Os endereços de e-mail de suporte associados a tickets individuais também são previsíveis. Um invasor pode visualizar todo o histórico do ticket, obtendo acesso a dados confidenciais, ao saber o e-mail de suporte e o ID do ticket.

Para versões anteriores a 02/07/2024, atualize o componente afetado imediatamente para evitar possíveis explorações remotas. Como solução temporária, considere restringir o acesso ao manipulador de e-mail para minimizar o risco de exploração. Evite usar endereços de e-mail de suporte previsíveis associados a tickets individuais até que o problema seja resolvido.