cvelistv5 - cve-2024-23791

▼	URL	Tags
	security@otrs.com	https://otrs.com/release-notes/otrs-security-advisory-2024-02/	Vendor Advisory
	af854a3a-2127-422b-91ae-364da2661108	https://otrs.com/release-notes/otrs-security-advisory-2024-02/	Vendor Advisory

WID-SEC-W-2024-0234

Vulnerability from csaf_certbund

Published

2024-01-28 23:00

Modified

2024-01-28 23:00

Summary

OTRS: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

Das Open Ticket Request System (OTRS) ist ein Ticketsystem für Help-Desks.

Angriff

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in OTRS ausnutzen, um Informationen offenzulegen, Sicherheitsmaßnahmen zu umgehen oder einen Cross Site Scripting Angriff durchzuführen.

Betroffene Betriebssysteme

- UNIX - Linux - Windows - Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "mittel"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Das Open Ticket Request System (OTRS) ist ein Ticketsystem f\u00fcr Help-Desks.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in OTRS ausnutzen, um Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen oder einen Cross Site Scripting Angriff durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0234 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0234.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0234 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0234"
      },
      {
        "category": "external",
        "summary": "OTRS Security Advisory vom 2024-01-28",
        "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-01/"
      },
      {
        "category": "external",
        "summary": "OTRS Security Advisory vom 2024-01-28",
        "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-02/"
      },
      {
        "category": "external",
        "summary": "OTRS Security Advisory vom 2024-01-28",
        "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-03/"
      },
      {
        "category": "external",
        "summary": "OTRS Security Advisory vom 2024-01-28",
        "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-04/"
      }
    ],
    "source_lang": "en-US",
    "title": "OTRS: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-01-28T23:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:04:35.954+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-0234",
      "initial_release_date": "2024-01-28T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-01-28T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_name",
                "name": "OTRS OTRS 8.x \u003c Patch 2024.1.1",
                "product": {
                  "name": "OTRS OTRS 8.x \u003c Patch 2024.1.1",
                  "product_id": "T032395",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:otrs:otrs:8.x__patch_2024.1.1"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "OTRS OTRS 2023.x \u003c Patch 2024.1.1",
                "product": {
                  "name": "OTRS OTRS 2023.x \u003c Patch 2024.1.1",
                  "product_id": "T032396",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:otrs:otrs:2023.x__patch_2024.1.1"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "OTRS OTRS 2023.x \u003c LTS 7.0.49",
                "product": {
                  "name": "OTRS OTRS 2023.x \u003c LTS 7.0.49",
                  "product_id": "T032397",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:otrs:otrs:2023.x__lts_7.0.49"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "OTRS"
          }
        ],
        "category": "vendor",
        "name": "OTRS"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2021-33829",
      "notes": [
        {
          "category": "description",
          "text": "Es existiert eine Schwachstelle in OTRS. Eine unsachgem\u00e4\u00dfe Eingabevalidierung in der Upload-Funktionalit\u00e4t f\u00fcr Benutzer-Avatare erm\u00f6glicht einen Missbrauch der Funktionalit\u00e4t aufgrund einer fehlenden \u00dcberpr\u00fcfung der Dateitypen. Ein authentisierter Angreifer kann diese Schwachstelle ausnutzen, um Informationen offenzulegen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "release_date": "2024-01-28T23:00:00.000+00:00",
      "title": "CVE-2021-33829"
    },
    {
      "cve": "CVE-2024-23790",
      "notes": [
        {
          "category": "description",
          "text": "Es existiert eine Schwachstelle in OTRS. Das Einf\u00fcgen von Debug-Informationen in die Log-Datei w\u00e4hrend des Aufbaus des elastischen Suchindexes erm\u00f6glicht das Lesen von sensiblen Informationen aus Artikeln. Ein privilegierter Angreifer kann diese Schwachstelle ausnutzen, um Informationen offenzulegen."
        }
      ],
      "release_date": "2024-01-28T23:00:00.000+00:00",
      "title": "CVE-2024-23790"
    },
    {
      "cve": "CVE-2024-23791",
      "notes": [
        {
          "category": "description",
          "text": "Es existiert eine Schwachstelle in OTRS. Beim Hinzuf\u00fcgen von Anh\u00e4ngen zu Ticketkommentaren kann ein anderer Benutzer ebenfalls Anh\u00e4nge hinzuf\u00fcgen und sich als der urspr\u00fcngliche Benutzer ausgeben. Ein Angreifer kann diese Schwachstelle ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen."
        }
      ],
      "release_date": "2024-01-28T23:00:00.000+00:00",
      "title": "CVE-2024-23791"
    },
    {
      "cve": "CVE-2024-23792",
      "notes": [
        {
          "category": "description",
          "text": "In OTRS existiert eine Cross-Site Scripting Schwachstelle. HTML und Script-Eingaben werden im HTML Data Prozessor in CKEditor nicht ordnungsgem\u00e4\u00df \u00fcberpr\u00fcft, bevor sie an den Benutzer zur\u00fcckgegeben werden. Ein entfernter, anonymer Angreifer kann durch Ausnutzung dieser Schwachstelle beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "release_date": "2024-01-28T23:00:00.000+00:00",
      "title": "CVE-2024-23792"
    }
  ]
}

wid-sec-w-2024-0234

Vulnerability from csaf_certbund

Published

2024-01-28 23:00

Modified

2024-01-28 23:00

Summary

OTRS: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

Das Open Ticket Request System (OTRS) ist ein Ticketsystem für Help-Desks.

Angriff

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in OTRS ausnutzen, um Informationen offenzulegen, Sicherheitsmaßnahmen zu umgehen oder einen Cross Site Scripting Angriff durchzuführen.

Betroffene Betriebssysteme

- UNIX - Linux - Windows - Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "mittel"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Das Open Ticket Request System (OTRS) ist ein Ticketsystem f\u00fcr Help-Desks.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in OTRS ausnutzen, um Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen oder einen Cross Site Scripting Angriff durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0234 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0234.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0234 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0234"
      },
      {
        "category": "external",
        "summary": "OTRS Security Advisory vom 2024-01-28",
        "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-01/"
      },
      {
        "category": "external",
        "summary": "OTRS Security Advisory vom 2024-01-28",
        "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-02/"
      },
      {
        "category": "external",
        "summary": "OTRS Security Advisory vom 2024-01-28",
        "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-03/"
      },
      {
        "category": "external",
        "summary": "OTRS Security Advisory vom 2024-01-28",
        "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-04/"
      }
    ],
    "source_lang": "en-US",
    "title": "OTRS: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-01-28T23:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:04:35.954+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-0234",
      "initial_release_date": "2024-01-28T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-01-28T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_name",
                "name": "OTRS OTRS 8.x \u003c Patch 2024.1.1",
                "product": {
                  "name": "OTRS OTRS 8.x \u003c Patch 2024.1.1",
                  "product_id": "T032395",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:otrs:otrs:8.x__patch_2024.1.1"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "OTRS OTRS 2023.x \u003c Patch 2024.1.1",
                "product": {
                  "name": "OTRS OTRS 2023.x \u003c Patch 2024.1.1",
                  "product_id": "T032396",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:otrs:otrs:2023.x__patch_2024.1.1"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "OTRS OTRS 2023.x \u003c LTS 7.0.49",
                "product": {
                  "name": "OTRS OTRS 2023.x \u003c LTS 7.0.49",
                  "product_id": "T032397",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:otrs:otrs:2023.x__lts_7.0.49"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "OTRS"
          }
        ],
        "category": "vendor",
        "name": "OTRS"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2021-33829",
      "notes": [
        {
          "category": "description",
          "text": "Es existiert eine Schwachstelle in OTRS. Eine unsachgem\u00e4\u00dfe Eingabevalidierung in der Upload-Funktionalit\u00e4t f\u00fcr Benutzer-Avatare erm\u00f6glicht einen Missbrauch der Funktionalit\u00e4t aufgrund einer fehlenden \u00dcberpr\u00fcfung der Dateitypen. Ein authentisierter Angreifer kann diese Schwachstelle ausnutzen, um Informationen offenzulegen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "release_date": "2024-01-28T23:00:00.000+00:00",
      "title": "CVE-2021-33829"
    },
    {
      "cve": "CVE-2024-23790",
      "notes": [
        {
          "category": "description",
          "text": "Es existiert eine Schwachstelle in OTRS. Das Einf\u00fcgen von Debug-Informationen in die Log-Datei w\u00e4hrend des Aufbaus des elastischen Suchindexes erm\u00f6glicht das Lesen von sensiblen Informationen aus Artikeln. Ein privilegierter Angreifer kann diese Schwachstelle ausnutzen, um Informationen offenzulegen."
        }
      ],
      "release_date": "2024-01-28T23:00:00.000+00:00",
      "title": "CVE-2024-23790"
    },
    {
      "cve": "CVE-2024-23791",
      "notes": [
        {
          "category": "description",
          "text": "Es existiert eine Schwachstelle in OTRS. Beim Hinzuf\u00fcgen von Anh\u00e4ngen zu Ticketkommentaren kann ein anderer Benutzer ebenfalls Anh\u00e4nge hinzuf\u00fcgen und sich als der urspr\u00fcngliche Benutzer ausgeben. Ein Angreifer kann diese Schwachstelle ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen."
        }
      ],
      "release_date": "2024-01-28T23:00:00.000+00:00",
      "title": "CVE-2024-23791"
    },
    {
      "cve": "CVE-2024-23792",
      "notes": [
        {
          "category": "description",
          "text": "In OTRS existiert eine Cross-Site Scripting Schwachstelle. HTML und Script-Eingaben werden im HTML Data Prozessor in CKEditor nicht ordnungsgem\u00e4\u00df \u00fcberpr\u00fcft, bevor sie an den Benutzer zur\u00fcckgegeben werden. Ein entfernter, anonymer Angreifer kann durch Ausnutzung dieser Schwachstelle beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "release_date": "2024-01-28T23:00:00.000+00:00",
      "title": "CVE-2024-23792"
    }
  ]
}

gsd-2024-23791

Vulnerability from gsd

Modified

2024-01-23 06:02

Details

Insertion of debug information into log file during building the elastic search index allows reading of sensitive information from articles.This issue affects OTRS: from 7.0.X through 7.0.48, from 8.0.X through 8.0.37, from 2023.X through 2023.1.1.

Aliases

CVE-2024-23791

JSON

To clipboard

{
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2024-23791"
      ],
      "details": "Insertion of debug information into log file during building the elastic search index allows reading of sensitive information from articles.This issue affects OTRS: from 7.0.X through 7.0.48, from 8.0.X through 8.0.37, from 2023.X through 2023.1.1.\n\n",
      "id": "GSD-2024-23791",
      "modified": "2024-01-23T06:02:22.117574Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "security@otrs.com",
        "ID": "CVE-2024-23791",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "OTRS",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "\u003c=",
                          "version_name": "7.0.x",
                          "version_value": "7.0.48"
                        },
                        {
                          "version_affected": "\u003c=",
                          "version_name": "8.0.x",
                          "version_value": "8.0.37"
                        },
                        {
                          "version_affected": "\u003c=",
                          "version_name": "2023.x",
                          "version_value": "2023.1.1"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "OTRS AG"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "Insertion of debug information into log file during building the elastic search index allows reading of sensitive information from articles.This issue affects OTRS: from 7.0.X through 7.0.48, from 8.0.X through 8.0.37, from 2023.X through 2023.1.1.\n\n"
          }
        ]
      },
      "generator": {
        "engine": "Vulnogram 0.1.0-dev"
      },
      "impact": {
        "cvss": [
          {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 4.9,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "HIGH",
            "integrityImpact": "NONE",
            "privilegesRequired": "HIGH",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N",
            "version": "3.1"
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "cweId": "CWE-532",
                "lang": "eng",
                "value": "CWE-532 Insertion of Sensitive Information into Log File"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://otrs.com/release-notes/otrs-security-advisory-2024-02/",
            "refsource": "MISC",
            "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-02/"
          }
        ]
      },
      "solution": [
        {
          "lang": "en",
          "supportingMedia": [
            {
              "base64": false,
              "type": "text/html",
              "value": "\u003cdiv\u003eUpdate to OTRS Patch 2024.1.1\u003c/div\u003e\u003cdiv\u003eUpdate to OTRS 7.0.49 (Long Term Support Users)\u003c/div\u003e\u003cbr\u003e"
            }
          ],
          "value": "Update to OTRS Patch 2024.1.1\n\nUpdate to OTRS 7.0.49 (Long Term Support Users)\n\n"
        }
      ],
      "source": {
        "advisory": "OSA-2024-02",
        "defect": [
          "Issue#1224",
          "Ticket#2021091742001128"
        ],
        "discovery": "USER"
      }
    },
    "nvd.nist.gov": {
      "cve": {
        "configurations": [
          {
            "nodes": [
              {
                "cpeMatch": [
                  {
                    "criteria": "cpe:2.3:a:otrs:otrs:*:*:*:*:*:*:*:*",
                    "matchCriteriaId": "4E47E75A-C9A9-40EE-A5DE-B4CDD98E7B7F",
                    "versionEndExcluding": "7.0.49",
                    "versionStartIncluding": "7.0.0",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:otrs:otrs:*:*:*:*:*:*:*:*",
                    "matchCriteriaId": "3B9B2075-4C3E-48C9-96DA-655E4F29325A",
                    "versionEndExcluding": "2024.1.1",
                    "versionStartIncluding": "8.0.0",
                    "vulnerable": true
                  }
                ],
                "negate": false,
                "operator": "OR"
              }
            ]
          }
        ],
        "descriptions": [
          {
            "lang": "en",
            "value": "Insertion of debug information into log file during building the elastic search index allows reading of sensitive information from articles.This issue affects OTRS: from 7.0.X through 7.0.48, from 8.0.X through 8.0.37, from 2023.X through 2023.1.1.\n\n"
          },
          {
            "lang": "es",
            "value": "La inserci\u00f3n de informaci\u00f3n de depuraci\u00f3n en el archivo de registro durante la creaci\u00f3n del \u00edndice de b\u00fasqueda el\u00e1stico permite leer informaci\u00f3n confidencial de los art\u00edculos. Este problema afecta a OTRS: de 7.0.X a 7.0.48, de 8.0.X a 8.0.37, de 2023.X a 2023.1 .1."
          }
        ],
        "id": "CVE-2024-23791",
        "lastModified": "2024-02-02T02:07:28.850",
        "metrics": {
          "cvssMetricV31": [
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "NONE",
                "baseScore": 7.5,
                "baseSeverity": "HIGH",
                "confidentialityImpact": "HIGH",
                "integrityImpact": "NONE",
                "privilegesRequired": "NONE",
                "scope": "UNCHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
                "version": "3.1"
              },
              "exploitabilityScore": 3.9,
              "impactScore": 3.6,
              "source": "nvd@nist.gov",
              "type": "Primary"
            },
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "NONE",
                "baseScore": 4.9,
                "baseSeverity": "MEDIUM",
                "confidentialityImpact": "HIGH",
                "integrityImpact": "NONE",
                "privilegesRequired": "HIGH",
                "scope": "UNCHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N",
                "version": "3.1"
              },
              "exploitabilityScore": 1.2,
              "impactScore": 3.6,
              "source": "security@otrs.com",
              "type": "Secondary"
            }
          ]
        },
        "published": "2024-01-29T10:15:08.483",
        "references": [
          {
            "source": "security@otrs.com",
            "tags": [
              "Vendor Advisory"
            ],
            "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-02/"
          }
        ],
        "sourceIdentifier": "security@otrs.com",
        "vulnStatus": "Analyzed",
        "weaknesses": [
          {
            "description": [
              {
                "lang": "en",
                "value": "CWE-532"
              }
            ],
            "source": "nvd@nist.gov",
            "type": "Primary"
          },
          {
            "description": [
              {
                "lang": "en",
                "value": "CWE-532"
              }
            ],
            "source": "security@otrs.com",
            "type": "Secondary"
          }
        ]
      }
    }
  }
}

ghsa-q87w-hjgf-6vfw

Vulnerability from github

Published

2024-01-29 12:30

Modified

2024-01-29 12:30

Severity ?

4.9 (Medium) - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Details

Insertion of debug information into log file during building the elastic search index allows reading of sensitive information from articles.This issue affects OTRS: from 7.0.X through 7.0.48, from 8.0.X through 8.0.37, from 2023.X through 2023.1.1.

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2024-23791"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-532"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2024-01-29T10:15:08Z",
    "severity": "MODERATE"
  },
  "details": "Insertion of debug information into log file during building the elastic search index allows reading of sensitive information from articles.This issue affects OTRS: from 7.0.X through 7.0.48, from 8.0.X through 8.0.37, from 2023.X through 2023.1.1.\n\n",
  "id": "GHSA-q87w-hjgf-6vfw",
  "modified": "2024-01-29T12:30:20Z",
  "published": "2024-01-29T12:30:20Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-23791"
    },
    {
      "type": "WEB",
      "url": "https://otrs.com/release-notes/otrs-security-advisory-2024-02"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N",
      "type": "CVSS_V3"
    }
  ]
}

cve-2024-23791

Vulnerability from cvelistv5

Tags

Sightings

Nomenclature

Action not permitted

cve-2024-23791

Vulnerability from cvelistv5

WID-SEC-W-2024-0234

Vulnerability from csaf_certbund

wid-sec-w-2024-0234

Vulnerability from csaf_certbund

gsd-2024-23791

Vulnerability from gsd

ghsa-q87w-hjgf-6vfw

Vulnerability from github

Tags

Sightings

Nomenclature