Plataforma
php
Componente
survey-module
Corregido en
6.0.21
7.0.20
CVE-2021-21434 describe una vulnerabilidad de Cross-Site Scripting (XSS) en el módulo Survey de OTRS AG Survey. Esta falla permite a un administrador malintencionado crear encuestas que contienen código malicioso, el cual se ejecuta en la interfaz de agentes al interactuar con la encuesta. La vulnerabilidad afecta a las versiones 6.0.x anteriores a 6.0.20 y a las versiones 7.0.x anteriores o iguales a 7.0.19. Se recomienda aplicar las actualizaciones de seguridad proporcionadas por OTRS AG.
Un atacante puede explotar esta vulnerabilidad para inyectar scripts maliciosos en las encuestas creadas por los administradores. Cuando un agente accede a una encuesta comprometida, el script se ejecuta en su navegador, permitiendo al atacante robar información sensible, como credenciales de inicio de sesión o datos personales. Además, el atacante podría redirigir al agente a sitios web maliciosos, realizar acciones en su nombre o incluso comprometer completamente su sesión. El impacto se amplifica si los agentes tienen acceso a información confidencial o sistemas críticos dentro de la organización.
La vulnerabilidad fue publicada el 8 de febrero de 2021. Actualmente no se dispone de información sobre explotación activa en la naturaleza. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations utilizing OTRS Survey for customer support or issue tracking are at risk. Specifically, environments where survey administrators have broad permissions and agents handle sensitive data are particularly vulnerable. Shared hosting environments where multiple customers share the same OTRS instance could also be affected if one customer's survey is malicious.
• php: Examine survey templates for suspicious JavaScript code or encoded characters. Use grep to search for patterns like <script> or javascript: within survey data.
grep -r '<script' /var/www/otrs/survey/templates• generic web: Monitor access logs for requests containing unusual or encoded characters in survey parameters. Look for POST requests to survey endpoints with suspicious data.
curl -s 'https://your-otrs-instance/survey/index.php?action=view&id=123' > /tmp/survey_request.txt
grep -i 'javascript:' /tmp/survey_request.txtdisclosure
Estado del Exploit
EPSS
0.36% (58% percentil)
Vector CVSS
La mitigación principal es actualizar a una versión de OTRS AG Survey que haya corregido la vulnerabilidad (6.0.20 o superior, o 7.0.20 o superior). Si la actualización no es inmediatamente posible, se recomienda implementar medidas de validación de entrada en el lado del servidor para filtrar o escapar cualquier código potencialmente malicioso en las encuestas. Además, se pueden configurar políticas de seguridad del navegador para restringir la ejecución de scripts de fuentes no confiables. Monitorear los logs del servidor en busca de patrones sospechosos de inyección de código también puede ayudar a detectar y prevenir ataques.
Actualice el módulo Survey a la versión 6.0.21 o 7.0.20, o a una versión posterior. Esto corregirá la vulnerabilidad XSS que permite la ejecución de código malicioso en la interfaz del agente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2021-21434 is a cross-site scripting (XSS) vulnerability in the OTRS Survey module, allowing malicious code execution in the agent interface through crafted surveys.
You are affected if you are running OTRS Survey versions 6.0.x prior to 6.0.20 or 7.0.x prior to 7.0.19.
Upgrade to OTRS Survey version 6.0.20 or later for the 6.0.x series, or 7.0.19 or later for the 7.0.x series. Implement input validation and output encoding as a temporary workaround.
There is no current evidence of active exploitation campaigns targeting this vulnerability, but public proof-of-concept exploits exist.
Refer to the official OTRS security advisory: https://otrs.com/security-advisories/otrs-survey-xss-vulnerability/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.