OTOBO Release Notes

OTOBO 10.0.19 – ein Security Patch

05. Oktober 2023

Sicherheitsrelevant:

  • XSS Schwachstelle: Wir fixen eine Schwachstelle, die es Angreifern mit dem Recht Kunden anzulegen ermöglichte, JS-Code einzuschleusen.
  • Header Injection: Behebung einer Schwachstelle, die – in Systemen mit aktivierten Webservices – eine Header Injection über diese Webservices ermöglichte.

Vielen Dank an Tim Püttmanns (maxence), der uns auf die Schwachstellen aufmerksam gemacht hat.

Kritikalität: Mittel

CVE-2023-5421

Außerdem neu in OTOBO 10.0.19

  • [Enhancement]   Ergänzung eines optionalen Leeways, d. h. eines Puffers für die Überprüfung von Zeitstempeln im Rahmen der Authentifizierung über OpenID Connect.
  • [Bugfix]   Beheben eines Fehlers, durch den Kunden nach der Anpassung ihrer Daten im Agenten Interface via AdminCustomerUser zur Änderung ihres Passwortes aufgefordert wurden.
  • [Bugfix]   Korrektur der Nutzung der Option ‘AuthSyncModule::LDAP::GroupDN’.
  • [Bugfix]   Ermöglichen der Nutzung dynamischer Felder in der ElasticSearch-Suche. Vielen Dank an wetzf für den Pull Request.
  • und mehr.

Bitte aktualisieren Sie Ihr System.