漏洞标题
N/A
漏洞描述信息
在 Zammad 1.0.4 之前,1.1.x 版本在1.1.3 之前,1.2.x 版本在1.2.1 之前发现了一个问题,该问题是由缺乏涉及 HTTP 访问控制头的安全机制引起的。为了利用这个漏洞,攻击者可以发送跨域请求直接向具有有效会话 cookie 的用户的 REST API 发送请求,并接收结果。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An issue was discovered in Zammad before 1.0.4, 1.1.x before 1.1.3, and 1.2.x before 1.2.1, caused by lack of a protection mechanism involving HTTP Access-Control headers. To exploit the vulnerability, an attacker can send cross-domain requests directly to the REST API for users with a valid session cookie and receive the result.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Zammad 安全漏洞
漏洞描述信息
Zammad是德国Zammad公司的一套票务管理软件。 Zammad 1.0.4之前的版本、1.1.3之前的1.1.x版本和1.2.1之前的1.2.x版本中存在安全漏洞,该漏洞源于程序缺少含有HTTP Access-Control头的保护机制。远程攻击者利用该漏洞直接向REST API发送跨域请求。
CVSS信息
N/A
漏洞类别
跨站请求伪造