| タイトル | OTRS プロジェクトのOTRSにおける複数の脆弱性 |
|---|---|
| 概要 | OTRSまたは((OTRS)) Community Editionのチケット記事レンダリングにおいて、アクティブなSVGコンテンツが適切に無効化されていないため、攻撃者が特別に細工されたSVGペイロードをメールコンテンツ経由で注入できる脆弱性が存在します。これにより、影響を受けたチケットをエージェントまたは顧客が開いた際に、ブラウザ側のリソースが枯渇しサービス拒否が発生します。この問題はJavaScriptの実行を伴わずに悪用可能であり、設定されたコンテンツセキュリティポリシー(CSP)によっても緩和されません。本脆弱性は以下のOTRSバージョンに影響します。 * 7.0.X * 8.0.X * 2023.X * 2024.X * 2025.X * 2026.Xの2026.4.X以前。また、((OTRS)) Community Edition 6.x以前も脆弱であり、((OTRS)) Community Editionをベースにした製品も影響を受ける可能性が非常に高いことに注意してください。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月1日0:00 |
| 登録日 | 2026年6月16日13:40 |
| 最終更新日 | 2026年6月16日13:40 |
| CVSS3.0 : 警告 | |
| スコア | 6.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
| OTRS プロジェクト |
| OTRS 2023.0.0 以上 2026.4.1 未満 |
| OTRS 6.0.32 およびそれ以前 |
| OTRS 7.0.0 から 8.0.37 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月16日] 掲載 |
2026年6月16日13:40 |
| 概要 | An improper neutralization of active SVG content in OTRS or ((OTRS)) Community Edition ticket article rendering allows attackers to inject specially crafted SVG payloads via email content, leading to browser-side resource exhaustion and denial of service when affected tickets are opened by an agent or customer. The issue can be exploited without JavaScript execution and is not mitigated by the configured Content Security Policy (CSP). This issue affects OTRS: * 7.0.X Please note that ((OTRS)) Community Edition 6.x and before are vulnerable. Products based on the ((OTRS)) Community Edition also very likely to be affected |
|---|---|
| 公表日 | 2026年6月1日13:16 |
| 登録日 | 2026年6月2日4:17 |
| 最終更新日 | 2026年6月2日3:12 |