工单概览视图存在 XSS 漏洞.

请马上根据披露的信息核对生产线上的 zammad 版本, 如果确认属于受影响的版本范围, 请马上采取措施!! 如遇到可疑的安全攻击问题, 请发送邮件到 security @ zammad.com

详细信息

  • 序号: ZAA-2018-01
  • 日期: 2018-03-29
  • 主题: 工单概览视图存在 XSS 漏洞.
  • 严重性: 高 / High
  • 影响: Zammad 2.2.x - 2.3.0
  • 修正: Zammad 2.2.2, 2.3.1
  • 参考:
    • CVE-2018-1000154
    • https://github.com/zammad/zammad/issues/1869

问题描述

1 - XSS 漏洞 (CVE-2018-1000154)

由于 Zammad 没有过滤表格标题的 HTML 代码, 如果通过电子邮件或 REST API 接口发送恶意的 HTML 代码会造成 XSS 漏洞.

非常感恩 🙏 大家的真爱 🤘 我们特别 ❤️ 衷心的感谢:

  • N: ValtteriL / Valtteri Lehtinen
  • D: Hacker
  • W: https://github.com/ValtteriL

解决方法

最新版本的 Zammad 已经修复该漏洞, 建议马上更新到最新版本.

版本可以在以下的服务器上找到:

  • https://ftp.zammad.com.cn/
  • https://ftp.zammad.com/

或者通过系统的软件包管理器更新到最新版本.

为保护我们的客户, 在没有进行调查并推出修补程序或发行版本之前, 我们不会透露, 讨论或确认安全性问题. 而在发布更新之前, 我们同样优先更新客户的系统.

附加信息

本公告的发布地址为:
https://zammad.com.cn/security/ZAA-2018-01_XSS_in_table_overviews/

如遇到可疑的安全攻击问题, 请发送邮件到 security @ zammad.com