| Title | OTRS プロジェクトのOTRSにおける複数の脆弱性 |
|---|---|
| Summary | OTRSまたは((OTRS)) Community Editionのチケット記事レンダリングにおいて、アクティブなSVGコンテンツが適切に無効化されていないため、攻撃者が特別に細工されたSVGペイロードをメールコンテンツ経由で注入できる脆弱性が存在します。これにより、影響を受けたチケットをエージェントまたは顧客が開いた際に、ブラウザ側のリソースが枯渇しサービス拒否が発生します。この問題はJavaScriptの実行を伴わずに悪用可能であり、設定されたコンテンツセキュリティポリシー(CSP)によっても緩和されません。本脆弱性は以下のOTRSバージョンに影響します。 * 7.0.X * 8.0.X * 2023.X * 2024.X * 2025.X * 2026.Xの2026.4.X以前。また、((OTRS)) Community Edition 6.x以前も脆弱であり、((OTRS)) Community Editionをベースにした製品も影響を受ける可能性が非常に高いことに注意してください。 |
| Possible impacts | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 1, 2026, midnight |
| Registration Date | June 16, 2026, 1:40 p.m. |
| Last Update | June 16, 2026, 1:40 p.m. |
| CVSS3.0 : 警告 | |
| Score | 6.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
| OTRS プロジェクト |
| OTRS 2023.0.0 以上 2026.4.1 未満 |
| OTRS 6.0.32 およびそれ以前 |
| OTRS 7.0.0 から 8.0.37 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月16日] 掲載 |
June 16, 2026, 1:40 p.m. |
| Summary | An improper neutralization of active SVG content in OTRS or ((OTRS)) Community Edition ticket article rendering allows attackers to inject specially crafted SVG payloads via email content, leading to browser-side resource exhaustion and denial of service when affected tickets are opened by an agent or customer. The issue can be exploited without JavaScript execution and is not mitigated by the configured Content Security Policy (CSP). This issue affects OTRS: * 7.0.X Please note that ((OTRS)) Community Edition 6.x and before are vulnerable. Products based on the ((OTRS)) Community Edition also very likely to be affected |
|---|---|
| Publication Date | June 1, 2026, 1:16 p.m. |
| Registration Date | June 2, 2026, 4:17 a.m. |
| Last Update | June 2, 2026, 3:12 a.m. |