CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2017-6080
https://notcve.org/view.php?id=CVE-2017-6080
An issue was discovered in Zammad before 1.0.4, 1.1.x before 1.1.3, and 1.2.x before 1.2.1, caused by lack of a protection mechanism involving HTTP Access-Control headers. To exploit the vulnerability, an attacker can send cross-domain requests directly to the REST API for users with a valid session cookie and receive the result. Se ha descubierto un problema en Zammad en versiones anteriores a 1.0.4, 1.1.x en versiones anteriores a 1.1.3 y 1.2.x en versiones anteriores a 1.2.1, provocado por la carencia de un mecanismo de protección que implica a cabeceras HTTP Access-Control. Para explotar esta vulnerabilidad, un atacante puede enviar peticiones entre dominios directamente a la API REST para usuarios con una cookie de sesión válida y recibir el resultado. • http://www.securityfocus.com/bid/96937 https://zammad.com/de/news/security-advisory-zaa-2017-01 • CWE-352: Cross-Site Request Forgery (CSRF) •