Katalog CVE

CVE-2026-48190

NiskieCVSS 3.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

Nieprawidłowe zarządzanie uprawnieniami w interfejsie zewnętrznym OTRS oraz module listy ConfigItem pozwala uwierzytelnionemu klientowi na zapytanie systemu o informacje dotyczące CI. Problem występuje tylko, gdy CMDB jest włączone i używana jest obsługa grup klientów.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do wrażliwych informacji o konfiguracji, co może prowadzić do naruszenia prywatności danych klientów oraz potencjalnych problemów z bezpieczeństwem.

Rekomendacja

Zaleca się przegląd i dostosowanie uprawnień w systemie OTRS, aby ograniczyć dostęp do informacji o CI tylko do uprawnionych użytkowników. Należy również rozważyć aktualizację do najnowszej wersji OTRS, aby załatać tę podatność.

Oryginalny opis (angielski, źródło NVD)

An incorrect handling of permissions in OTRS External Interface and the ConfigItem List module allows an authenticated customer to query the system for CI information. Please note that CMDB has to be anabled and CustomerGroupSupport has to be used to be affected. This issue affects OTRS: * 7.0.X * 8.0.X * 2023.X * 2024.X * 2025.X * 2026.X before 2026.4.X

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS