CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-31597
https://notcve.org/view.php?id=CVE-2023-31597
An issue in Zammad v5.4.0 allows attackers to bypass e-mail verification using an arbitrary address and manipulate the data of the generated user. Attackers are also able to gain unauthorized access to existing tickets. • https://zammad.com/de/advisories/zaa-2023-03 • CWE-863: Incorrect Authorization •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27332
https://notcve.org/view.php?id=CVE-2022-27332
An access control issue in Zammad v5.0.3 allows attackers to write entries to the CTI caller log without authentication. This vulnerability can allow attackers to execute phishing attacks or cause a Denial of Service (DoS). Un problema de control de acceso en Zammad versión v5.0.3, permite a atacantes escribir entradas en el registro de llamadas de CTI sin autenticación. Esta vulnerabilidad puede permitir a atacantes ejecutar ataques de phishing o causar una Denegación de Servicio (DoS) • https://zammad.com/en/advisories/zaa-2022-01 • CWE-306: Missing Authentication for Critical Function •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27331
https://notcve.org/view.php?id=CVE-2022-27331
An access control issue in Zammad v5.0.3 broadcasts administrative configuration changes to all users who have an active application instance, including settings that should only be visible to authenticated users. Un problema de control de acceso en Zammad versión v5.0.3, difunde los cambios de configuración administrativa a todos los usuarios que presentan una instancia de aplicación activa, incluyendo ajustes que sólo deberían ser visibles para usuarios autenticados • https://zammad.com/de/advisories/zaa-2022-02 • CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2021-44886
https://notcve.org/view.php?id=CVE-2021-44886
In Zammad 5.0.2, agents can configure "out of office" periods and substitute persons. If the substitute persons didn't have the same permissions as the original agent, they could receive ticket notifications for tickets that they have no access to. En Zammad versión 5.0.2, los agentes pueden configurar periodos de "out of office" y personas sustitutas. Si las personas sustitutas no tienen los mismos permisos que el agente original, podrían recibir notificaciones de tickets a los que no presentan acceso • https://zammad.com/en/advisories/zaa-2021-21 •