OTOBO Download

Security Advisory 2023-02
Behebung einer Schwachstelle, die – in Systemen mit aktivierten Webservices – eine Header Injection über diese Webservices ermöglichte.

Kritikalität: Mittel, 6.3
Patched in OTOBO 10.0.19

Security Advisory 2023-01
Behebung einer Schwachstelle, die es Angreifern mit dem Recht Kunden anzulegen ermöglichte, JS-Code einzuschleusen (CVE-2023-5421).

Kritikalität: Mittel
Patched in OTOBO 10.0.19 und 10.1.8

Security Advisory 2022-04
Behebung einer Schwachstelle, die es Angreifern ermöglichte über die Webservice-Operation „TicketSearch“ SQL Code einzuschleusen.

Kritikalität: Mittel, 5.6
Patched in OTOBO 10.0.17 und 10.1.6

Security Advisory 2022-03
Behebung weiterer Schwachstellen im Admin-Modul: Angreifer mit OTOBO Admin-Rechten konnten sich erweiterte Berechtigungen erschleichen.

Kritikalität: Mittel
Patched in OTOBO 10.1.5

Security Advisory 2022-02
Es wurde eine XSS-Schwachstelle in der Oberfläche des Paketmanagers behoben (CVE-2022-0475).

Kritikalität: Mittel
Patched in OTOBO 10.0.16 und 10.1.3

Security Advisory 2022-01
OTOBO Admins oder Angreifer mit OTOBO Admin-Rechten konnten OTOBO Features ausnutzen, um sich Berechtigungen auf dem Server zu erschleichen.

Kritikalität: Hoch
Patched in OTOBO 10.0.16 und 10.1.3

Informationen zum Log4J Zero Day Exploit

OTOBO ist grundsätzlich nicht vom Log4J Zero Day Exploit betroffen.
Details und Ausnahmen hier. In OTOBO 10.0.14 ist vorsichtshalber dennoch ein Update auf die aktualisierte Elasticsearch Version 7.16.1 enthalten.
Mit OTOBO 10.0.15 / OTOBO 10.1 kommt das Update auf Elasticsearch 7.16.2 und log4j 2.17.0.

Security Advisory 2021-13

JS Injection in Fehlermeldungen zu dynamischen Feldern. Nutzer mit OTOBO Admin-Berechtigungen – und nur diese – hatten die Möglichkeit, JS-Code in die Fehlermeldungen zu dynamischen Fehlern zu integrieren.

Kritikalität: Niedrig.
Patched in OTOBO 10.0.13.

Security Advisory 2021-12

Open Redirect in external URL jump.
Das Feature ExternalURLJump ermöglichte – wenn aktiv – eine unvalidierte Um- oder Weiterleitung auf eine andere, möglicherweise schädliche Website. Dies hätten Angreifer in Phishing-Attacken nutzen können, um Nutzer auf schädliche Seiten zu leiten.

Kritikalität: Mittel.
Patched in OTOBO 10.0.13.

Security Advisory 2021-11

Authentifizierte Kunden können über die Elasticsearch-Schnellsuche auch nach Aktivieren von DisableCustomerCompanyTickets auf Firmentickets zugreifen, wenn sie die gleiche CustomerID haben.

Kritikalität: Niedrig.
Patched in OTOBO 10.0.12.

Security Advisory 2021-10

Pakete aus dem Docker Base-Image sind veraltet und beinhalten bekannte Schwachstellen. Dieses Security Advisory betrifft nur Docker-Installationen.

Kritikalität: Mittel.
Patched in OTOBO 10.0.12.

Security Advisory 2021-09

Authentifizierte Agenten können sich Termine aus Kalendern anzeigen lassen, auf die sie keinen Zugriff haben (CVE-2021-36091).

Dank für den Hinweis an Centuran Consulting.

Kritikalität: Niedrig.
Patched in OTOBO 10.0.12.

Security Advisory 2021-08
Authentifizierte Agenten können sich Kunden-E-Mails zu Tickets anzeigen lassen, zu denen sie keinen Zugriff haben (CVE-2021-21443).

Dank für den Hinweis an Centuran Consulting.

Kritikalität: Niedrig.
Patched in OTOBO 10.0.12.

Security Advisory 2021-07
Generierte Supportbundles enthalten private S/MIME- und PGP-Schlüssel, wenn der Ordner, in dem sie hinterlegt sind, nicht aktiv verborgen wurde (CVE-2021-21440). Dank für den Hinweis an Julian Droste.

Kritikalität: Mittel (5.2).
Patched in OTOBO 10.0.12.

Security Advisory 2021-06
Es gab eine XSS-Schwachstelle im Time Accounting Modul.
Die Schwachstelle wurde von einem anonymen Entwickler gemeldet.  (s. CVE-2021-21442)

Kritikalität: mittel.
Patched in OTOBO Time Accounting 10.0.2

Security Advisory 2021-05
Angreifer konnten durch JavaScriptInjection und einen manipulierten Link oder CSRF im Namen eines Kundenbenutzers Tickets erstellen, über den manipulierten Nutzer interagieren sowie dessen Einstellungen – mit Ausnahme des Passwortes – ändern, sobald dieser die manipulierte Adresse aufgerufen hatte.
Danke an hypnguyen1209 für die Information über die Schwachstelle.

Kritikalität: niedrig.
Patched in OTOBO 10.0.11.

Security Advisory 2021-04
Angreifer konnten via XSS durch den Versand einer manipulierten E-Mail ins System über die Ticketübersicht Daten abgreifen. Danke an Znuny für die Bereitstellung von Information und Fix (ZSA-2021-06; Kritikalität: hoch).

Eine Schwachstelle in JQuery Validate ermöglichte es Angreifern RoDoS-Angriffe (CVE-2021-21252; Kritikalität: niedrig).

Kritikalität: Hoch
Patched in OTOBO 10.0.10.

Security Advisory 2021-03
In psgi-basierten Docker-Installationen konnten OTOBO-Admins auf sensible Daten zugreifen. Diese Sicherheitslücke betrifft NUR Systeme, in denen bei der Installation ausdrücklich PSGI ausgewählt wurde. Gemäß Dokumentation ausgeführte Standardinstallationen sind NICHT betroffen.

Patched in OTOBO 10.0.9.

Security Advisory 2021-02
Survey Modul: Administratoren können Umfragen so gestalten, dass im Agentenbereich Schadcode ausgeführt wird (durch einen anderen Agenten, der Änderungen an der Umfrage vornehmen möchte). Read more

Risk Level: 3.5 LOW.
Patched in OTOBO Survey Module 10.0.3.

Security Advisory 2021-01
Several vulnerabilities in CKEditor. Read more

Kritikalität: 5.5 MEDIUM.
Patched in OTOBO 10.0.8

Security Advisory 2020-01
OTOBO uses jquery version 3.4.1, which is vulnerable to cross-site scripting (XSS). Read more.

Risk Level: 6.3 / 6.5 MEDIUM.
Patched in OTOBO 10.0.5.