CVEHotfixes – Hotfixes für Znuny und Otobo

Dieses Hotfix Add-on schließt drei kritische Sicherheitslücken, die die Integrität und den Schutz Ihres Systems gefährden.

CVE-2024-32491
Datei-Upload-Schwachstelle: In Znuny LTS 6.0.31 bis 6.5.7 sowie Znuny 7.0.1 bis 7.0.16 kann ein eingeloggter Benutzer über einen manipulierten AJAX-Request eine Datei an einem beliebigen beschreibbaren Ort hochladen, indem er Pfade traversiert. Wenn dieser Ort öffentlich über den Webserver zugänglich ist, kann beliebiger Code ausgeführt werden.

CVE-2024-32492
JavaScript-Ausführung: In Znuny 7.0.1 bis 7.0.16 erlaubt die Ticketdetailansicht im Kundenbereich die Ausführung von externem JavaScript.

CVE-2024-32493
SQL-Injection: In Znuny LTS 6.5.1 bis 6.5.7 und Znuny 7.0.1 bis 7.0.16 kann ein eingeloggter Agent SQL in den Form-ID-Parameter eines AJAX-Requests injizieren.

Für Otobo ist lediglich der CVE-2024-32491 relevant.
Diese Sicherheitlücke ist in den Versionen vor 10.0.21 und 10.1.10 vorhanden.