缺少 CSRF 令牌

请马上根据披露的信息核对生产线上的 zammad 版本, 如果确认属于受影响的版本范围, 请马上采取措施!! 如遇到可疑的安全攻击问题, 请发送邮件到 security @ zammad.com

详细信息

  • 序号: ZAA-2019-01
  • 日期: 2019-02-14
  • 主题: 缺少 CSRF 令牌.
  • 严重性: 低 / Low
  • 影响: Zammad 1.0.x - 2.8.0
  • 修正: Zammad 2.7.2, 2.8.1, 2.9.0
  • 参考:
    • CVE: 待定
    • https://github.com/zammad/zammad/issues/1869

问题描述

1 - 缺少 CSRF 令牌 (CVE 待定) 在基于 cookie 的会话登录时缺少 CSRF 令牌, 攻击者可能通过创建虚的假登录页面并在 Zammad 中模拟登录以获取登录数据.

非常感恩 🙏 大家的真爱 🤘 我们特别 ❤️ 衷心的感谢:

  • N: Ethan Jael B. Melegrito
  • D: Security Researcher
  • W: https://www.facebook.com/superngorks

解决方法

最新版本的 Zammad 已经修复该漏洞, 建议马上更新到最新版本.

版本可以在以下的服务器上找到:

  • https://ftp.zammad.com.cn/
  • https://ftp.zammad.com/

或者通过系统的软件包管理器更新到最新版本.

为保护我们的客户, 在没有进行调查并推出修补程序或发行版本之前, 我们不会透露, 讨论或确认安全性问题. 而在发布更新之前, 我们同样优先更新客户的系统.

附加信息

本公告的发布地址为:
https://zammad.com.cn/security/ZAA-2019-01_missing_CSRF_token/

如遇到可疑的安全攻击问题, 请发送邮件到 security @ zammad.com