Zammad — это веб-служба поддержки/служба поддержки клиентов с открытым исходным кодом. До версий 7.0.1 и 6.5.4 в средстве очистки HTML для статей заявок отсутствовала надлежащая очистка данных: ... схем URI, что приводило к сохранению такого вредоносного контента в базе данных экземпляра Zammad. Графический интерфейс Zammad отображает этот контент, поэтому благодаря применяемым правилам CSP никакой вред не будет причинен, например, щелчок по такой ссылке.
Эта уязвимость исправлена в версиях 7.0.1 и 6.5.4.
Показать оригинальное описание (EN)
Zammad is a web based open source helpdesk/customer support system. Prior to 7.0.1 and 6.5.4, the HTML sanitizer for ticket articles was missing proper sanitization of data: ... URI schemes, resulting in storing such malicious content in the database of the Zammad instance. The Zammad GUI is rendering this content, due to applied CSP rules no harm was done by e.g., clicking such a link. This vulnerability is fixed in 7.0.1 and 6.5.4.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Zammad Zammad
cpe:2.3:a:zammad:zammad:*:*:*:*:*:*:*:*
|
— |
6.5.4
|
|
Zammad Zammad
cpe:2.3:a:zammad:zammad:7.0.0:*:*:*:*:*:*:*
|
— | — |