漏洞标题
N/A
漏洞描述信息
在2.3.5之前,开放令牌请求系统(OTRS)未正确禁用隐藏权限,这使远程验证的用户可以在灵活 circumstances(即无需预先设定令牌的情况下)通过访问令牌绕过 intended queue access restrictions。此限制与涉及隐藏权限和其他权限 permission-set 和 permission-remove 操作一定的排序有关。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Open Ticket Request System (OTRS) before 2.3.5 does not properly disable hidden permissions, which allows remote authenticated users to bypass intended queue access restrictions in opportunistic circumstances by visiting a ticket, related to a certain ordering of permission-set and permission-remove operations involving both hidden permissions and other permissions.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
OTRS队列访问限制绕过漏洞
漏洞描述信息
OTRS(Open-source Ticket Request System)是德国OTRS集团的一套开源缺陷跟踪管理系统软件。该软件将电话,邮件等各种渠道提交进来的服务请求归类为不同的队列、服务级别,服务人员通过OTRS系统来跟踪和回复客户。 OTRS 2.3.5之前版本没有正确禁用隐藏权限。远程认证用户可以通过访问ticket,绕过预设的队列访问限制。该漏洞与权限设置和权限删除操作(涉及隐藏权限和其他权限)的特定次序有关。
CVSS信息
N/A
漏洞类别
授权问题