CVE-2025-24387
Missing CSRF protection
Em resumo
Os cookies de autenticação do OTRS não têm configurações de segurança adequadas em conexões HTTPS, permitindo que sites maliciosos roubem sessões de usuários e realizem ações não autorizadas. Isso ocorre porque os cookies não têm proteções que evitem seu envio para sites não confiáveis.
Detalhe técnico
O OTRS Application Server não define os atributos SameSite e Secure nos cookies de autenticação, permitindo ataques CSRF em que um site malicioso pode disparar requisições que incluem cookies de sessão válidos. Um atacante pode executar operações de leitura não autorizadas ao craftar requisições a partir de uma página web comprometida visitada por um usuário autenticado.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A vulnerability in OTRS Application Server allows session hijacking due to missing attributes for sensitive
cookie settings in HTTPS sessions. A request to an OTRS endpoint from a possible malicious web site, would send the authentication cookie, performing an unwanted read operation.
This issue affects:
* OTRS 7.0.X
* OTRS 8.0.X
* OTRS 2023.X
* OTRS 2024.X
* OTRS 2025.x
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N
Produtos afetados
OTRS AG · OTRSQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →