Plateforme
zammad
Composant
zammad
Corrigé dans
6.5.5
7.0.1
La vulnérabilité CSRF (Cross-Site Request Forgery) affecte le système de gestion de support client open source Zammad. Avant les versions 7.0.1 et 6.5.4, les points de rappel OAuth pour les fournisseurs d'authentification externes tels que Microsoft, Google et Facebook ne valident pas correctement un paramètre d'état CSRF. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié.
Un attaquant peut exploiter cette vulnérabilité pour forger des requêtes HTTP malveillantes qui seront exécutées avec les privilèges de l'utilisateur authentifié dans Zammad. Cela pourrait inclure la modification de tickets, la suppression de données, ou même l'accès à des informations sensibles. L'absence de validation CSRF rend le système vulnérable aux attaques de type 'clickjacking', où l'utilisateur est trompé pour exécuter des actions involontaires. La surface d'attaque est particulièrement préoccupante pour les organisations utilisant Zammad pour gérer des données clients sensibles.
Cette vulnérabilité a été rendue publique le 8 avril 2026. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité CSRF la rend potentiellement exploitable. Il n'y a pas d'entrée dans le KEV à ce jour. Des preuves de concept publiques pourraient apparaître, augmentant le risque d'exploitation.
Organizations using Zammad helpdesk systems, particularly those relying on external authentication providers like Microsoft, Google, and Facebook, are at risk. Shared hosting environments where multiple Zammad instances share the same server infrastructure could also be affected, as a compromise of one instance could potentially lead to the compromise of others.
• zammad / server:
grep -r 'OAuth callback' /var/www/zammad/app/controllers/• zammad / server:
journalctl -u zammad -f | grep "CSRF token validation"• generic web:
curl -I https://<zammad_instance>/oauth/microsoft/callback | grep 'CSRF-Token'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
La mitigation principale consiste à mettre à jour Zammad vers la version 7.0.1 ou 6.5.4. Si la mise à jour n'est pas immédiatement possible, envisagez de mettre en place des mesures de sécurité temporaires. Il est recommandé de désactiver temporairement l'authentification OAuth pour les fournisseurs concernés (Microsoft, Google, Facebook) jusqu'à ce que la mise à jour puisse être appliquée. En outre, assurez-vous que tous les utilisateurs sont conscients des risques de phishing et d'éviter de cliquer sur des liens suspects. Après la mise à jour, vérifiez que les points de rappel OAuth fonctionnent correctement et que la validation CSRF est bien en place.
Mettez à jour Zammad vers la version 7.0.1 ou supérieure, ou vers la version 6.5.4 ou supérieure. Ces versions corrigent la vulnérabilité CSRF dans les points de terminaison de rappel OAuth en validant correctement le paramètre d'état CSRF.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34721 is a Cross-Site Request Forgery (CSRF) vulnerability in Zammad helpdesk versions 6.5.0 through 7.0.0-alpha and before 7.0.1, allowing attackers to perform unauthorized actions.
You are affected if you are running Zammad versions 6.5.0 through 7.0.0-alpha, or versions prior to 7.0.1. Check your Zammad version and upgrade accordingly.
Upgrade Zammad to version 6.5.4 or 7.0.1. Consider temporary workarounds like CSRF protection on OAuth endpoints if immediate upgrade is not possible.
As of now, there are no known public exploits or active campaigns targeting CVE-2026-34721.
Refer to the official Zammad security advisory for detailed information and updates: [https://community.zammad.com/t/security-advisory-cve-2026-34721/36367]
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.