Katalog CVE

CVE-2026-48208

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 - wyżej niż 16% wszystkich znanych CVE

Streszczenie

W OTRS i ((OTRS)) Community Edition występuje niewłaściwe neutralizowanie aktywnej zawartości SVG w renderowaniu artykułów zgłoszeń, co pozwala atakującym na wstrzykiwanie specjalnie przygotowanych ładunków SVG przez treść e-maila. Może to prowadzić do wyczerpania zasobów po stronie przeglądarki i odmowy usługi, gdy dotknięte zgłoszenia są otwierane przez agenta lub klienta.

Ocena ryzyka

Organizacje mogą doświadczyć poważnych zakłóceń w działaniu systemu, co może prowadzić do utraty dostępu do zgłoszeń oraz obniżenia jakości obsługi klienta. Atakujący mogą wykorzystać tę podatność bez potrzeby wykonywania JavaScriptu, co zwiększa ryzyko.

Rekomendacja

Zaleca się aktualizację OTRS do wersji 2026.4.X lub nowszej, aby zniwelować tę podatność. Należy również rozważyć przegląd i wzmocnienie polityki bezpieczeństwa treści (CSP) w celu ochrony przed podobnymi atakami.

Oryginalny opis (angielski, źródło NVD)

An improper neutralization of active SVG content in OTRS or ((OTRS)) Community Edition ticket article rendering allows attackers to inject specially crafted SVG payloads via email content, leading to browser-side resource exhaustion and denial of service when affected tickets are opened by an agent or customer. The issue can be exploited without JavaScript execution and is not mitigated by the configured Content Security Policy (CSP). This issue affects OTRS: * 7.0.X * 8.0.X * 2023.X * 2024.X * 2025.X * 2026.X before 2026.4.X Please note that ((OTRS)) Community Edition 6.x and before are vulnerable. Products based on the ((OTRS)) Community Edition also very likely to be affected

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS