CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2022-4427 – SQL Injection via OTRS Search API
https://notcve.org/view.php?id=CVE-2022-4427
Improper Input Validation vulnerability in OTRS AG OTRS, OTRS AG ((OTRS)) Community Edition allows SQL Injection via TicketSearch Webservice This issue affects OTRS: from 7.0.1 before 7.0.40 Patch 1, from 8.0.1 before 8.0.28 Patch 1; ((OTRS)) Community Edition: from 6.0.1 through 6.0.34. Vulnerabilidad de validación de entrada incorrecta en OTRS AG OTRS, OTRS AG ((OTRS)) Community Edition permite la inyección de SQL a través de TicketSearch Webservice. Este problema afecta a OTRS: desde 7.0.1 antes de 7.0.40 parche 1, desde 8.0.1 antes de 8.0.28 parche 1 ; ((OTRS)) Community Edition: desde 6.0.1 hasta 6.0.34. • https://lists.debian.org/debian-lts-announce/2023/08/msg00040.html https://otrs.com/release-notes/otrs-security-advisory-2022-15 • CWE-20: Improper Input Validation CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2022-39052 – DoS attack using email
https://notcve.org/view.php?id=CVE-2022-39052
An external attacker is able to send a specially crafted email (with many recipients) and trigger a potential DoS of the system Un atacante externo es capaz de enviar un correo electrónico especialmente diseñado (con muchos destinatarios) y desencadenar un potencial DoS del sistema • https://otrs.com/release-notes/otrs-security-advisory-2022-13 • CWE-835: Loop with Unreachable Exit Condition ('Infinite Loop') •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2022-39051 – Perl Code execution in Template Toolkit
https://notcve.org/view.php?id=CVE-2022-39051
Attacker might be able to execute malicious Perl code in the Template toolkit, by having the admin installing an unverified 3th party package El atacante podría ser capaz de ejecutar código Perl malicioso en el kit de herramientas Template, haciendo que el administrador instale un paquete de 3ª parte no verificado • https://otrs.com/release-notes/otrs-security-advisory-2022-12 • CWE-913: Improper Control of Dynamically-Managed Code Resources •
CVSS: 4.8EPSS: 0%CPEs: 3EXPL: 0CVE-2022-39050 – Possible XSS stored in customer information
https://notcve.org/view.php?id=CVE-2022-39050
An attacker who is logged into OTRS as an admin user may manipulate customer URL field to store JavaScript code to be run later by any other agent when clicking the customer URL link. Then the stored JavaScript is executed in the context of OTRS. The same issue applies for the usage of external data sources e.g. database or ldap Un atacante que haya iniciado sesión en OTRS como usuario administrador puede manipular el campo de la URL del cliente para almacenar código JavaScript que será ejecutado posteriormente por cualquier otro agente cuando haga clic en el enlace de la URL del cliente. Entonces el JavaScript almacenado es ejecutado en el contexto de OTRS. El mismo problema es aplicado al uso de fuentes de datos externas, por ejemplo, bases de datos o ldap • https://otrs.com/release-notes/otrs-security-advisory-2022-11 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 3EXPL: 0CVE-2022-39049 – Possible XSS in Admin Interface
https://notcve.org/view.php?id=CVE-2022-39049
An attacker who is logged into OTRS as an admin user may manipulate the URL to cause execution of JavaScript in the context of OTRS. Un atacante que haya iniciado sesión en OTRS como usuario administrador puede manipular la URL para causar una ejecución de JavaScript en el contexto de OTRS • https://otrs.com/release-notes/otrs-security-advisory-2022-10 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •