Vulnerability Bulletins |
Vulnerabilidades en Request Tracker |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Obtener acceso |
Dificulty | Avanzado |
Required attacker level | Acceso remoto con cuenta |
System information |
|
Property | Value |
Affected manufacturer | GNU/Linux |
Affected software | Request Tracker 3.8.x y 4.0.x |
Description |
|
Se han decubierto varias vulnerabilidades en Request Tracker, un sistema de seguimiento de tickets: - CVE-2012-4730: Los usuarios autenticados pueden añadir cabeceras arbitrarias o contenidos electrónico generado por RT. - CVE-2012-4732: Existe una vulnerabilidad CSRF puede permitir a atacantes alternar marcadores de tickets. - CVE-2012-4734: Si los usuarios siguen una URI diseñada e inician sesión en RT, pueden ejecutan acciones que normalmente son bloqueadas por la lógica de prevención de CSRF. - CVE-2012-4735: Varias vulnerabilidades diferentes en el procesamiento de GnuPG podrían permitir a atacantes causar que RT firme indebidamente el correo electrónico saliente. - CVE-2012-4884: Si el soporte de GnuPG está habilitado, usuarios atacantes autenticados podrían crear archivos arbitrarios como usuarios del servidor web, lo que puede permitir la ejecución de código arbitrario. |
|
Solution |
|
Se recomienda actualizar Request Tracker a la última versión publicada por el fabricante. | |
Standar resources |
|
Property | Value |
CVE |
CVE-2012-4730 CVE-2012-4732 CVE-2012-4734 CVE-2012-4735 CVE-2012-4884 |
BID | |
Other resources |
|
Security vulnerabilities in RT http://blog.bestpractical.com/2012/10/security-vulnerabilities-in-rt.html |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2012-10-31 |