CVSS: 5.0EPSS: 0%CPEs: 81EXPL: 0CVE-2010-4767
https://notcve.org/view.php?id=CVE-2010-4767
Open Ticket Request System (OTRS) before 2.3.6 does not properly handle e-mail messages in which the From line contains UTF-8 characters associated with diacritical marks and an invalid charset, which allows remote attackers to cause a denial of service (duplicate tickets and duplicate auto-responses) by sending a crafted message to a POP3 mailbox. Open Ticket Request System (OTRS) anteriores a v2.3.6 no gestiona correctamente los mensajes de correo electrónico en el que la línea De contiene caracteres UTF-8 asociadas con los signos diacríticos y un juego de caracteres no válidos, que permite a atacantes remotos provocar una denegación de servicio (tickets duplicados y respuestas duplicadas) mediante el envío de un mensaje hmanipulados a un buzón POP3. • http://bugs.otrs.org/show_bug.cgi?id=3426 http://source.otrs.org/viewvc.cgi/otrs/CHANGES?revision=1.1807 • CWE-20: Improper Input Validation •
CVSS: 6.0EPSS: 0%CPEs: 80EXPL: 1CVE-2010-4768
https://notcve.org/view.php?id=CVE-2010-4768
Open Ticket Request System (OTRS) before 2.3.5 does not properly disable hidden permissions, which allows remote authenticated users to bypass intended queue access restrictions in opportunistic circumstances by visiting a ticket, related to a certain ordering of permission-set and permission-remove operations involving both hidden permissions and other permissions. Open Ticket Request System (OTRS) anteriores a v2.3.5 no desactiva de forma adecuada los permisos ocultos, lo que permite a usuarios remotos autenticados eludir las restricciones de acceso a la cola previstos, en ciertas circunstancias al visitar un ticket, está relacionado con un cierto orden del conjunto de permisos y eliminación de los mismos, que implica a ambos, permisos ocultos y otros. • http://bugs.otrs.org/show_bug.cgi?id=3499 http://source.otrs.org/viewvc.cgi/otrs/CHANGES?revision=1.1807 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.3EPSS: 0%CPEs: 78EXPL: 0CVE-2008-7275
https://notcve.org/view.php?id=CVE-2008-7275
Multiple cross-site scripting (XSS) vulnerabilities in Open Ticket Request System (OTRS) before 2.3.3 allow remote attackers to inject arbitrary web script or HTML via vectors related to (1) AgentTicketMailbox or (2) CustomerTicketOverView. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en Open Ticket Request System (OTRS) anteriores a v2.3.3, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores relacionados con (1) AgentTicketMailbox or (2) CustomerTicketOverView. • http://bugs.otrs.org/show_bug.cgi?id=3287 http://source.otrs.org/viewvc.cgi/otrs/CHANGES?revision=1.1807 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 74EXPL: 0CVE-2008-7277
https://notcve.org/view.php?id=CVE-2008-7277
Open Ticket Request System (OTRS) before 2.3.0-beta4 checks for the rw permission, instead of the configured merge permission, during authorization of merge operations, which might allow remote authenticated users to bypass intended access restrictions by merging two tickets. Open Ticket Request System (OTRS) anteriores a v2.3.0-beta4 comprueba los permisos rw, en lugar de configurar el permiso de unión, durante el proceso de autorización de operaciones de combinación, lo que podría permitir a usuarios remotos autenticados eludir las restricciones de acceso previsto por la fusión de dos tickets. • http://bugs.otrs.org/show_bug.cgi?id=3045 http://source.otrs.org/viewvc.cgi/otrs/CHANGES?revision=1.1807 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.0EPSS: 0%CPEs: 66EXPL: 0CVE-2008-7278
https://notcve.org/view.php?id=CVE-2008-7278
The S/MIME feature in Open Ticket Request System (OTRS) before 2.2.5, and 2.3.x before 2.3.0-beta1, does not properly configure the RANDFILE environment variable for OpenSSL, which might make it easier for remote attackers to decrypt e-mail messages that had lower than intended entropy available for cryptographic operations, related to inability to write to the seeding file. La función S/MIME en Open Ticket Request System (OTRS) anterior a v2.2.5, y v2.3.x anteriores a v2.3.0-beta1, no configura correctamente la variable de entorno RANDFILE para OpenSSL, lo que podría facilitar a los atacantes remotos descifrar mensajes de correo electrónico que tenían menos entropía de la previsto para operaciones de cifrado, relacionado con la imposibilidad de escribir en el fichero de generación de semilla para claves. • http://bugs.otrs.org/show_bug.cgi?id=2539 http://bugs.otrs.org/show_bug.cgi?id=2844 http://source.otrs.org/viewvc.cgi/otrs/CHANGES?revision=1.1807 • CWE-20: Improper Input Validation •