CVE-2025-26241

Nome do Software Vulnerável e Versões Afetadas Versões do osTicket 1.17.5 e anteriores

Descrição Existe uma vulnerabilidade de injeção de SQL na funcionalidade de pesquisa da página tickets.php, permitindo que atacantes autenticados executem comandos SQL arbitrários. Isso é alcançado através da combinação dos parâmetros de URL keywords e topic id.

Recomendações Para as versões do osTicket 1.17.5 e anteriores, considere restringir o acesso à página tickets.php até que um patch esteja disponível. Como solução temporária, evite usar os parâmetros keywords e topic id em combinação no endpoint da API afetado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.