cvelistv5 - cve-2024-23790

▼	URL	Tags
	security@otrs.com	https://otrs.com/release-notes/otrs-security-advisory-2024-01/	Vendor Advisory
	af854a3a-2127-422b-91ae-364da2661108	https://otrs.com/release-notes/otrs-security-advisory-2024-01/	Vendor Advisory

WID-SEC-W-2024-0234

Vulnerability from csaf_certbund

Published

2024-01-28 23:00

Modified

2024-01-28 23:00

Summary

OTRS: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

Das Open Ticket Request System (OTRS) ist ein Ticketsystem für Help-Desks.

Angriff

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in OTRS ausnutzen, um Informationen offenzulegen, Sicherheitsmaßnahmen zu umgehen oder einen Cross Site Scripting Angriff durchzuführen.

Betroffene Betriebssysteme

- UNIX - Linux - Windows - Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "mittel"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Das Open Ticket Request System (OTRS) ist ein Ticketsystem f\u00fcr Help-Desks.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in OTRS ausnutzen, um Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen oder einen Cross Site Scripting Angriff durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0234 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0234.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0234 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0234"
      },
      {
        "category": "external",
        "summary": "OTRS Security Advisory vom 2024-01-28",
        "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-01/"
      },
      {
        "category": "external",
        "summary": "OTRS Security Advisory vom 2024-01-28",
        "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-02/"
      },
      {
        "category": "external",
        "summary": "OTRS Security Advisory vom 2024-01-28",
        "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-03/"
      },
      {
        "category": "external",
        "summary": "OTRS Security Advisory vom 2024-01-28",
        "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-04/"
      }
    ],
    "source_lang": "en-US",
    "title": "OTRS: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-01-28T23:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:04:35.954+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-0234",
      "initial_release_date": "2024-01-28T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-01-28T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_name",
                "name": "OTRS OTRS 8.x \u003c Patch 2024.1.1",
                "product": {
                  "name": "OTRS OTRS 8.x \u003c Patch 2024.1.1",
                  "product_id": "T032395",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:otrs:otrs:8.x__patch_2024.1.1"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "OTRS OTRS 2023.x \u003c Patch 2024.1.1",
                "product": {
                  "name": "OTRS OTRS 2023.x \u003c Patch 2024.1.1",
                  "product_id": "T032396",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:otrs:otrs:2023.x__patch_2024.1.1"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "OTRS OTRS 2023.x \u003c LTS 7.0.49",
                "product": {
                  "name": "OTRS OTRS 2023.x \u003c LTS 7.0.49",
                  "product_id": "T032397",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:otrs:otrs:2023.x__lts_7.0.49"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "OTRS"
          }
        ],
        "category": "vendor",
        "name": "OTRS"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2021-33829",
      "notes": [
        {
          "category": "description",
          "text": "Es existiert eine Schwachstelle in OTRS. Eine unsachgem\u00e4\u00dfe Eingabevalidierung in der Upload-Funktionalit\u00e4t f\u00fcr Benutzer-Avatare erm\u00f6glicht einen Missbrauch der Funktionalit\u00e4t aufgrund einer fehlenden \u00dcberpr\u00fcfung der Dateitypen. Ein authentisierter Angreifer kann diese Schwachstelle ausnutzen, um Informationen offenzulegen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "release_date": "2024-01-28T23:00:00.000+00:00",
      "title": "CVE-2021-33829"
    },
    {
      "cve": "CVE-2024-23790",
      "notes": [
        {
          "category": "description",
          "text": "Es existiert eine Schwachstelle in OTRS. Das Einf\u00fcgen von Debug-Informationen in die Log-Datei w\u00e4hrend des Aufbaus des elastischen Suchindexes erm\u00f6glicht das Lesen von sensiblen Informationen aus Artikeln. Ein privilegierter Angreifer kann diese Schwachstelle ausnutzen, um Informationen offenzulegen."
        }
      ],
      "release_date": "2024-01-28T23:00:00.000+00:00",
      "title": "CVE-2024-23790"
    },
    {
      "cve": "CVE-2024-23791",
      "notes": [
        {
          "category": "description",
          "text": "Es existiert eine Schwachstelle in OTRS. Beim Hinzuf\u00fcgen von Anh\u00e4ngen zu Ticketkommentaren kann ein anderer Benutzer ebenfalls Anh\u00e4nge hinzuf\u00fcgen und sich als der urspr\u00fcngliche Benutzer ausgeben. Ein Angreifer kann diese Schwachstelle ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen."
        }
      ],
      "release_date": "2024-01-28T23:00:00.000+00:00",
      "title": "CVE-2024-23791"
    },
    {
      "cve": "CVE-2024-23792",
      "notes": [
        {
          "category": "description",
          "text": "In OTRS existiert eine Cross-Site Scripting Schwachstelle. HTML und Script-Eingaben werden im HTML Data Prozessor in CKEditor nicht ordnungsgem\u00e4\u00df \u00fcberpr\u00fcft, bevor sie an den Benutzer zur\u00fcckgegeben werden. Ein entfernter, anonymer Angreifer kann durch Ausnutzung dieser Schwachstelle beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "release_date": "2024-01-28T23:00:00.000+00:00",
      "title": "CVE-2024-23792"
    }
  ]
}

wid-sec-w-2024-0234

Vulnerability from csaf_certbund

Published

2024-01-28 23:00

Modified

2024-01-28 23:00

Summary

OTRS: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

Das Open Ticket Request System (OTRS) ist ein Ticketsystem für Help-Desks.

Angriff

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in OTRS ausnutzen, um Informationen offenzulegen, Sicherheitsmaßnahmen zu umgehen oder einen Cross Site Scripting Angriff durchzuführen.

Betroffene Betriebssysteme

- UNIX - Linux - Windows - Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "mittel"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Das Open Ticket Request System (OTRS) ist ein Ticketsystem f\u00fcr Help-Desks.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in OTRS ausnutzen, um Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen oder einen Cross Site Scripting Angriff durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0234 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0234.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0234 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0234"
      },
      {
        "category": "external",
        "summary": "OTRS Security Advisory vom 2024-01-28",
        "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-01/"
      },
      {
        "category": "external",
        "summary": "OTRS Security Advisory vom 2024-01-28",
        "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-02/"
      },
      {
        "category": "external",
        "summary": "OTRS Security Advisory vom 2024-01-28",
        "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-03/"
      },
      {
        "category": "external",
        "summary": "OTRS Security Advisory vom 2024-01-28",
        "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-04/"
      }
    ],
    "source_lang": "en-US",
    "title": "OTRS: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-01-28T23:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:04:35.954+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-0234",
      "initial_release_date": "2024-01-28T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-01-28T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_name",
                "name": "OTRS OTRS 8.x \u003c Patch 2024.1.1",
                "product": {
                  "name": "OTRS OTRS 8.x \u003c Patch 2024.1.1",
                  "product_id": "T032395",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:otrs:otrs:8.x__patch_2024.1.1"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "OTRS OTRS 2023.x \u003c Patch 2024.1.1",
                "product": {
                  "name": "OTRS OTRS 2023.x \u003c Patch 2024.1.1",
                  "product_id": "T032396",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:otrs:otrs:2023.x__patch_2024.1.1"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "OTRS OTRS 2023.x \u003c LTS 7.0.49",
                "product": {
                  "name": "OTRS OTRS 2023.x \u003c LTS 7.0.49",
                  "product_id": "T032397",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:otrs:otrs:2023.x__lts_7.0.49"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "OTRS"
          }
        ],
        "category": "vendor",
        "name": "OTRS"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2021-33829",
      "notes": [
        {
          "category": "description",
          "text": "Es existiert eine Schwachstelle in OTRS. Eine unsachgem\u00e4\u00dfe Eingabevalidierung in der Upload-Funktionalit\u00e4t f\u00fcr Benutzer-Avatare erm\u00f6glicht einen Missbrauch der Funktionalit\u00e4t aufgrund einer fehlenden \u00dcberpr\u00fcfung der Dateitypen. Ein authentisierter Angreifer kann diese Schwachstelle ausnutzen, um Informationen offenzulegen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "release_date": "2024-01-28T23:00:00.000+00:00",
      "title": "CVE-2021-33829"
    },
    {
      "cve": "CVE-2024-23790",
      "notes": [
        {
          "category": "description",
          "text": "Es existiert eine Schwachstelle in OTRS. Das Einf\u00fcgen von Debug-Informationen in die Log-Datei w\u00e4hrend des Aufbaus des elastischen Suchindexes erm\u00f6glicht das Lesen von sensiblen Informationen aus Artikeln. Ein privilegierter Angreifer kann diese Schwachstelle ausnutzen, um Informationen offenzulegen."
        }
      ],
      "release_date": "2024-01-28T23:00:00.000+00:00",
      "title": "CVE-2024-23790"
    },
    {
      "cve": "CVE-2024-23791",
      "notes": [
        {
          "category": "description",
          "text": "Es existiert eine Schwachstelle in OTRS. Beim Hinzuf\u00fcgen von Anh\u00e4ngen zu Ticketkommentaren kann ein anderer Benutzer ebenfalls Anh\u00e4nge hinzuf\u00fcgen und sich als der urspr\u00fcngliche Benutzer ausgeben. Ein Angreifer kann diese Schwachstelle ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen."
        }
      ],
      "release_date": "2024-01-28T23:00:00.000+00:00",
      "title": "CVE-2024-23791"
    },
    {
      "cve": "CVE-2024-23792",
      "notes": [
        {
          "category": "description",
          "text": "In OTRS existiert eine Cross-Site Scripting Schwachstelle. HTML und Script-Eingaben werden im HTML Data Prozessor in CKEditor nicht ordnungsgem\u00e4\u00df \u00fcberpr\u00fcft, bevor sie an den Benutzer zur\u00fcckgegeben werden. Ein entfernter, anonymer Angreifer kann durch Ausnutzung dieser Schwachstelle beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "release_date": "2024-01-28T23:00:00.000+00:00",
      "title": "CVE-2024-23792"
    }
  ]
}

gsd-2024-23790

Vulnerability from gsd

Modified

2024-01-23 06:02

Details

Improper Input Validation vulnerability in the upload functionality for user avatars allows functionality misuse due to missing check of filetypes. This issue affects OTRS: from 7.0.X through 7.0.48, from 8.0.X through 8.0.37, from 2023 through 2023.1.1.

Aliases

CVE-2024-23790

JSON

To clipboard

{
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2024-23790"
      ],
      "details": "Improper Input Validation vulnerability in the upload functionality for user avatars allows functionality misuse due to missing check of filetypes.\nThis issue affects OTRS:  from 7.0.X through 7.0.48, from 8.0.X through 8.0.37, from 2023 through 2023.1.1.\n\n",
      "id": "GSD-2024-23790",
      "modified": "2024-01-23T06:02:22.285387Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "security@otrs.com",
        "ID": "CVE-2024-23790",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "OTRS",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "\u003c=",
                          "version_name": "8.0.x",
                          "version_value": "8.0.37"
                        },
                        {
                          "version_affected": "\u003c=",
                          "version_name": "2023",
                          "version_value": "2023.1.1"
                        },
                        {
                          "version_affected": "\u003c=",
                          "version_name": "7.0.x",
                          "version_value": "7.0.48"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "OTRS AG"
            }
          ]
        }
      },
      "credits": [
        {
          "lang": "en",
          "value": "Special thanks to Matthias P\u00fcschel for reporting these vulnerability."
        }
      ],
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "Improper Input Validation vulnerability in the upload functionality for user avatars allows functionality misuse due to missing check of filetypes.\nThis issue affects OTRS:  from 7.0.X through 7.0.48, from 8.0.X through 8.0.37, from 2023 through 2023.1.1.\n\n"
          }
        ]
      },
      "generator": {
        "engine": "Vulnogram 0.1.0-dev"
      },
      "impact": {
        "cvss": [
          {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 3.5,
            "baseSeverity": "LOW",
            "confidentialityImpact": "LOW",
            "integrityImpact": "NONE",
            "privilegesRequired": "LOW",
            "scope": "UNCHANGED",
            "userInteraction": "REQUIRED",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N",
            "version": "3.1"
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "cweId": "CWE-20",
                "lang": "eng",
                "value": "CWE-20 Improper Input Validation"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://otrs.com/release-notes/otrs-security-advisory-2024-01/",
            "refsource": "MISC",
            "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-01/"
          }
        ]
      },
      "solution": [
        {
          "lang": "en",
          "supportingMedia": [
            {
              "base64": false,
              "type": "text/html",
              "value": "\u003cdiv\u003eUpdate to OTRS Patch 2024.1.1\u003c/div\u003e\u003cdiv\u003eUpdate to OTRS 7.0.49 (Long Term Support Users)\u003cbr\u003e\u003c/div\u003e\u003cdiv\u003e\u003cbr\u003e\u003c/div\u003e\u003cbr\u003e"
            }
          ],
          "value": "Update to OTRS Patch 2024.1.1\n\nUpdate to OTRS 7.0.49 (Long Term Support Users)\n\n"
        }
      ],
      "source": {
        "advisory": "OSA-2024-01",
        "defect": [
          "Ticket#2023083042000825",
          "Issue#1306"
        ],
        "discovery": "EXTERNAL"
      }
    },
    "nvd.nist.gov": {
      "cve": {
        "configurations": [
          {
            "nodes": [
              {
                "cpeMatch": [
                  {
                    "criteria": "cpe:2.3:a:otrs:otrs:*:*:*:*:*:*:*:*",
                    "matchCriteriaId": "4E47E75A-C9A9-40EE-A5DE-B4CDD98E7B7F",
                    "versionEndExcluding": "7.0.49",
                    "versionStartIncluding": "7.0.0",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:otrs:otrs:*:*:*:*:*:*:*:*",
                    "matchCriteriaId": "3B9B2075-4C3E-48C9-96DA-655E4F29325A",
                    "versionEndExcluding": "2024.1.1",
                    "versionStartIncluding": "8.0.0",
                    "vulnerable": true
                  }
                ],
                "negate": false,
                "operator": "OR"
              }
            ]
          }
        ],
        "descriptions": [
          {
            "lang": "en",
            "value": "Improper Input Validation vulnerability in the upload functionality for user avatars allows functionality misuse due to missing check of filetypes.\nThis issue affects OTRS:  from 7.0.X through 7.0.48, from 8.0.X through 8.0.37, from 2023 through 2023.1.1.\n\n"
          },
          {
            "lang": "es",
            "value": "Una vulnerabilidad de validaci\u00f3n de entrada incorrecta en la funcionalidad de carga de avatares de usuarios permite un mal uso de la funcionalidad debido a la falta de verificaci\u00f3n de los tipos de archivos. Este problema afecta a OTRS: desde 7.0.X hasta 7.0.48, desde 8.0.X hasta 8.0.37, desde 2023 hasta 2023.1.1."
          }
        ],
        "id": "CVE-2024-23790",
        "lastModified": "2024-02-02T02:07:58.653",
        "metrics": {
          "cvssMetricV31": [
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "HIGH",
                "baseScore": 9.8,
                "baseSeverity": "CRITICAL",
                "confidentialityImpact": "HIGH",
                "integrityImpact": "HIGH",
                "privilegesRequired": "NONE",
                "scope": "UNCHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H",
                "version": "3.1"
              },
              "exploitabilityScore": 3.9,
              "impactScore": 5.9,
              "source": "nvd@nist.gov",
              "type": "Primary"
            },
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "NONE",
                "baseScore": 3.5,
                "baseSeverity": "LOW",
                "confidentialityImpact": "LOW",
                "integrityImpact": "NONE",
                "privilegesRequired": "LOW",
                "scope": "UNCHANGED",
                "userInteraction": "REQUIRED",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N",
                "version": "3.1"
              },
              "exploitabilityScore": 2.1,
              "impactScore": 1.4,
              "source": "security@otrs.com",
              "type": "Secondary"
            }
          ]
        },
        "published": "2024-01-29T10:15:08.263",
        "references": [
          {
            "source": "security@otrs.com",
            "tags": [
              "Vendor Advisory"
            ],
            "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-01/"
          }
        ],
        "sourceIdentifier": "security@otrs.com",
        "vulnStatus": "Analyzed",
        "weaknesses": [
          {
            "description": [
              {
                "lang": "en",
                "value": "CWE-354"
              }
            ],
            "source": "nvd@nist.gov",
            "type": "Primary"
          },
          {
            "description": [
              {
                "lang": "en",
                "value": "CWE-20"
              }
            ],
            "source": "security@otrs.com",
            "type": "Secondary"
          }
        ]
      }
    }
  }
}

ghsa-m525-p4rf-7h93

Vulnerability from github

Published

2024-01-29 12:30

Modified

2024-01-29 12:30

Severity ?

3.5 (Low) - CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N

Details

Improper Input Validation vulnerability in the upload functionality for user avatars allows functionality misuse due to missing check of filetypes. This issue affects OTRS: from 7.0.X through 7.0.48, from 8.0.X through 8.0.37, from 2023 through 2023.1.1.

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2024-23790"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-20",
      "CWE-354"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2024-01-29T10:15:08Z",
    "severity": "LOW"
  },
  "details": "Improper Input Validation vulnerability in the upload functionality for user avatars allows functionality misuse due to missing check of filetypes.\nThis issue affects OTRS:  from 7.0.X through 7.0.48, from 8.0.X through 8.0.37, from 2023 through 2023.1.1.\n\n",
  "id": "GHSA-m525-p4rf-7h93",
  "modified": "2024-01-29T12:30:20Z",
  "published": "2024-01-29T12:30:20Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-23790"
    },
    {
      "type": "WEB",
      "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-01"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N",
      "type": "CVSS_V3"
    }
  ]
}

cve-2024-23790

Vulnerability from cvelistv5

Tags

Sightings

Nomenclature

Action not permitted

cve-2024-23790

Vulnerability from cvelistv5

WID-SEC-W-2024-0234

Vulnerability from csaf_certbund

wid-sec-w-2024-0234

Vulnerability from csaf_certbund

gsd-2024-23790

Vulnerability from gsd

ghsa-m525-p4rf-7h93

Vulnerability from github

Tags

Sightings

Nomenclature