CVSS: 6.5EPSS: 0%CPEs: 98EXPL: 1CVE-2010-4763
https://notcve.org/view.php?id=CVE-2010-4763
The ACL-customer-status Ticket Type setting in Open Ticket Request System (OTRS) before 3.0.0-beta1 does not restrict the ticket options after an AJAX reload, which allows remote authenticated users to bypass intended ACL restrictions on the (1) Status, (2) Service, and (3) Queue via selections. La configuración ACL-customer-status Ticket Type en Open Ticket Request System (OTRS) anteriores a v3.0.0-beta1 no restringe las opciones del ticket después de una recarga de AJAX, lo que permite a usuarios remotos autenticados eludir las restricciones destinadas ACL en las selecciones (1) Status, (2) Service, y (3) Qeue. • http://bugs.otrs.org/show_bug.cgi?id=4399 http://source.otrs.org/viewvc.cgi/otrs/CHANGES?revision=1.1807 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.0EPSS: 0%CPEs: 106EXPL: 0CVE-2010-4764
https://notcve.org/view.php?id=CVE-2010-4764
Open Ticket Request System (OTRS) before 2.4.10, and 3.x before 3.0.3, does not present warnings about incoming encrypted e-mail messages that were based on revoked PGP or GPG keys, which makes it easier for remote attackers to spoof e-mail communication by leveraging a key that has a revocation signature. Open Ticket Request System (OTRS) anteriores a v2.4.10, y v3.x anteriores a v3.0.3, no presente las advertencias sobre los mensajes entrantes de correo electrónico cifrados que se basaron en claves PGP o GPG revocadas, lo que facilitaría a los atacantes remotos espiar correo electrónico de mediante el aprovechamiento de una clave que tiene una firma de revocación. • http://bugs.otrs.org/show_bug.cgi?id=6131 http://source.otrs.org/viewvc.cgi/otrs/CHANGES?revision=1.1807 • CWE-255: Credentials Management Errors •
CVSS: 4.3EPSS: 0%CPEs: 94EXPL: 1CVE-2010-4766
https://notcve.org/view.php?id=CVE-2010-4766
The AgentTicketForward feature in Open Ticket Request System (OTRS) before 2.4.7 does not properly remove inline images from HTML e-mail messages, which allows remote attackers to obtain potentially sensitive image information in opportunistic circumstances by reading a forwarded message in a standard e-mail client. La característica AgentTicketForward en Open Ticket Request System (OTRS) anteriores a v2.4.7 no elimina correctamente las imágenes incluidas en mensajes de correo electrónico HTML, lo que podría permitir a atacantes remotos obtener información sensible de la imagen en circunstancias oportunistas mediante la lectura de un mensaje enviado con un cliente de correo estándar. • http://bugs.otrs.org/show_bug.cgi?id=4818 http://source.otrs.org/viewvc.cgi/otrs/CHANGES?revision=1.1807 • CWE-20: Improper Input Validation •
CVSS: 3.5EPSS: 0%CPEs: 91EXPL: 1CVE-2009-5055
https://notcve.org/view.php?id=CVE-2009-5055
Open Ticket Request System (OTRS) before 2.4.4 grants ticket access on the basis of single-digit substrings of the CustomerID value, which allows remote authenticated users to bypass intended access restrictions in opportunistic circumstances by visiting a ticket, as demonstrated by leveraging the CustomerID 12 account to read tickets that should be available only to CustomerID 1 or CustomerID 2. Open Ticket Request System (OTRS) anteriores a v2.4.4 permite el acceso a las subcadenas básicas de un dígito simple del valor CustomerID, que permite a usuarios remotos autenticados eludir las restricciones de acceso previsto en circunstancias oportunistas visualizando un ticket, como se demuestra mediante el aprovechamiento de la cuenta CustomerID 12 para leer tickets que deben estar disponibles sólo para los CustomerID 1 o 2. • http://bugs.otrs.org/show_bug.cgi?id=4105 http://source.otrs.org/viewvc.cgi/otrs/CHANGES?revision=1.1807 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 2.6EPSS: 0%CPEs: 8EXPL: 0CVE-2010-4071
https://notcve.org/view.php?id=CVE-2010-4071
Cross-site scripting (XSS) vulnerability in AgentTicketZoom in OTRS 2.4.x before 2.4.9, when RichText is enabled, allows remote attackers to inject arbitrary web script or HTML via JavaScript in an HTML e-mail. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en AgentTicketZoom para OTRS v2.4.x v2.4.9, cuando RichText está activada, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de JavaScript en un correo electrónico HTML. • http://bugs.gentoo.org/342687 http://lists.opensuse.org/opensuse-security-announce/2010-12/msg00006.html http://otrs.org/advisory/OSA-2010-03-en http://secunia.com/advisories/41978 http://www.osvdb.org/68882 http://www.vuxml.org/freebsd/96e776c7-e75c-11df-8f26-00151735203a.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •