CVE-2014-1694

Exploit

EPSS 0.58%
Veröffentlicht 04.02.2014 21:55:05
Zuletzt bearbeitet 11.04.2025 00:51:21
Quelle cve@mitre.org
CVE-Watchlists
Login
Unerledigt
Login

Multiple cross-site request forgery (CSRF) vulnerabilities in (1) CustomerPreferences.pm, (2) CustomerTicketMessage.pm, (3) CustomerTicketProcess.pm, and (4) CustomerTicketZoom.pm in Kernel/Modules/ in Open Ticket Request System (OTRS) 3.1.x before 3.1.19, 3.2.x before 3.2.14, and 3.3.x before 3.3.4 allow remote attackers to hijack the authentication of arbitrary users for requests that (5) create tickets or (6) send follow-ups to existing tickets.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 15

Daten sind bereitgestellt durch National Vulnerability Database (NVD)

Otrs ≫ Otrs Version3.2.0

Otrs ≫ Otrs Version3.2.0 Updatebeta1

Otrs ≫ Otrs Version3.2.0 Updatebeta2

Otrs ≫ Otrs Version3.2.0 Updatebeta3

Otrs ≫ Otrs Version3.2.0 Updatebeta4

Otrs ≫ Otrs Version3.2.0 Updatebeta5

Otrs ≫ Otrs Version3.2.0 Updaterc1

Otrs ≫ Otrs Version3.2.1

Otrs ≫ Otrs Version3.2.2

Otrs ≫ Otrs Version3.2.3

Otrs ≫ Otrs Version3.2.4

Otrs ≫ Otrs Version3.2.5

Otrs ≫ Otrs Version3.2.6

Otrs ≫ Otrs Version3.2.7

Otrs ≫ Otrs Version3.2.8

Otrs ≫ Otrs Version3.2.9

Otrs ≫ Otrs Version3.2.10

Otrs ≫ Otrs Version3.1.0

Otrs ≫ Otrs Version3.1.1

Otrs ≫ Otrs Version3.1.2

Otrs ≫ Otrs Version3.1.3

Otrs ≫ Otrs Version3.1.4

Otrs ≫ Otrs Version3.1.5

Otrs ≫ Otrs Version3.1.6

Otrs ≫ Otrs Version3.1.7

Otrs ≫ Otrs Version3.1.8

Otrs ≫ Otrs Version3.1.9

Otrs ≫ Otrs Version3.1.10

Otrs ≫ Otrs Version3.1.11

Otrs ≫ Otrs Version3.1.13

Otrs ≫ Otrs Version3.1.14

Otrs ≫ Otrs Version3.1.15

Otrs ≫ Otrs Version3.1.16

Otrs ≫ Otrs Version3.1.17

Otrs ≫ Otrs Version3.1.18

Otrs ≫ Otrs Version3.3.0

Otrs ≫ Otrs Version3.3.0 Updatebeta1

Otrs ≫ Otrs Version3.3.0 Updatebeta2

Otrs ≫ Otrs Version3.3.0 Updatebeta3

Otrs ≫ Otrs Version3.3.0 Updatebeta4

Otrs ≫ Otrs Version3.3.0 Updatebeta5

Otrs ≫ Otrs Version3.3.0 Updaterc1

Otrs ≫ Otrs Version3.3.1

Otrs ≫ Otrs Version3.3.2

Otrs ≫ Otrs Version3.3.3

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.58%	0.681

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
nvd@nist.gov	6.8	8.6	6.4	AV:N/AC:M/Au:N/C:P/I:P/A:P

CWE-352 Cross-Site Request Forgery (CSRF)

The web application does not, or can not, sufficiently verify whether a well-formed, valid, consistent request was intentionally provided by the user who submitted the request.

http://secunia.com/advisories/56644

Vendor Advisory

http://secunia.com/advisories/56655

Vendor Advisory

http://www.debian.org/security/2014/dsa-2867

http://www.openwall.com/lists/oss-security/2014/01/29/15

https://www.otrs.com/release-notes-otrs-help-desk-3-3-4

http://bugs.otrs.org/show_bug.cgi?id=10099

http://osvdb.org/102632

http://www.openwall.com/lists/oss-security/2014/01/29/7

https://github.com/OTRS/otrs/commit/6f324aaf8647729d509eebf063a0181f9f9196f7

Patch