RestrictAgentPreferences – Hotfix für Znuny und Otobo

Dieser Hotfix behebt die Sicherheitslücke CVE-2025-43926 in Znuny und Otobo, deren Existenz bereits von Znuny veröffentlicht worden und in der neuesten Version behoben wurde.

Wenn Sie eine ältere Znuny oder Otobo-Version einsetzen, bitte installieren Sie den Hotfix umgehend! Bei allen maxence Hosting Kunden wurde der Hotfix bereits installiert.

Die Sicherheitslücke erlaubt es jedem angemeldeten Agenten, Dateien auf dem Server zu lesen (soweit das mit den Berechtigungen des Webserver-Users möglich ist).

Außerdem kann per XSS (Cross-Site-Scripting) Javascript bei anderen Agenten ausgeführt werden (in Ticketübersichten) um so, zum Beispiel, an die Schreibrechte mit Dateisystemzugriff über einen Administrator zu gelangen.

Die Sicherheitslücke wurde von uns im Rahmen eines unserer Pentests gefunden und an Znuny & Otobo gemeldet, nachdem wir eine ausreichend starke Gefährdung festgestellt hatten. Es besteht die Möglichkeit, dass diese Sicherheitslücke an zusätzlichen Stellen ausgenutzt werden kann.

Betroffen sind alle Znuny-Systeme vor Znuny LTS 6.5.15 bzw. Znuny 7.1.7, sowie vor Otobo 11.0.9. Ältere OTRS-Versionen sind ebenfalls betroffen.