CVE-2017-16921 – OTRS 5.0.x/6.0.x - Remote Command Execution

https://notcve.org/view.php?id=CVE-2017-16921

In OTRS 6.0.x up to and including 6.0.1, OTRS 5.0.x up to and including 5.0.24, and OTRS 4.0.x up to and including 4.0.26, an attacker who is logged into OTRS as an agent can manipulate form parameters (related to PGP) and execute arbitrary shell commands with the permissions of the OTRS or web server user. En OTRS en versiones 6.0.x hasta e incluyendo 6.0.1; OTRS 5.0.x hasta e incluyendo 5.0.24 y OTRS 4.0.x hasta e incluyendo 4.0.26, un atacante que haya iniciado sesión en OTRS como agente puede manipular los parámetros de formulario (relacionados con PGP) y ejecutar comandos shell arbitrarios con los permisos del usuario OTRS o del servidor web. OTRS versions 5.0.x and 6.0.x suffer from a remote command execution vulnerability. • https://www.exploit-db.com/exploits/43853 http://packetstormsecurity.com/files/162295/OTRS-6.0.1-Remote-Command-Execution.html https://lists.debian.org/debian-lts-announce/2017/12/msg00015.html https://www.debian.org/security/2017/dsa-4066 https://www.otrs.com/security-advisory-2017-09-security-update-otrs-framework • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •