W systemie Znuny przed wersją 7.1.4 wykryto podatność polegającą na braku poprawnej weryfikacji uprawnień podczas aktualizacji metadanych zgłoszeń (ticketów) przez Generic Interface. Luka umożliwia nieuwierzytelnionemu atakującemu zdalne manipulowanie danymi systemowymi, co czyni ją krytycznym zagrożeniem.
▸ Pokaż oryginał (EN)
An issue was discovered in Znuny before 7.1.4. Permissions are not checked properly when using the Generic Interface to update ticket metadata.
Podatność wynika z nieprawidłowej implementacji kontroli dostępu (CWE-862 — brak wymaganej autoryzacji) w komponencie Generic Interface systemu Znuny. Atakujący może wysyłać żądania do interfejsu API bez posiadania stosownych uprawnień i modyfikować metadane ticketów. Ponieważ mechanizm nie weryfikuje tożsamości ani uprawnień wywołującego, operacje zarezerwowane dla uprawnionych użytkowników mogą być wykonywane przez osoby nieuprawnione lub nieuwierzytelnione.
Atakujący może bez uwierzytelnienia zdalnie odczytywać, modyfikować oraz potencjalnie niszczyć metadane zgłoszeń (ticketów) w systemie helpdesk, co może prowadzić do naruszenia poufności, integralności i dostępności danych obsługiwanych przez Znuny.
Należy zaktualizować Znuny do wersji 7.1.4 lub nowszej. Szczegółowe informacje o patchu dostępne są w oficjalnym komunikacie bezpieczeństwa producenta pod adresem https://www.znuny.org/en/advisories/zsa-2025-02
Znuny we wszystkich wersjach przed 7.1.4
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HZnuny
APPZnuny6.0.0 – 6.0.486.5.1 – 6.5.117.0.1 – 7.1.3
Powiązane podatności
Eval Injection w Znuny umożliwia zdalne wykonanie poleceń
Znuny: Ciasteczko sesji bez flagi HttpOnly — ryzyko kradzieży sesji
Path traversal i RCE w Znuny poprzez manipulację żądaniem AJAX
An issue was discovered in Znuny through 7.1.3. If access to a ticket is not given, the content of S/MIME encr...
An issue was discovered in Znuny before 7.1.5. When generating a support bundle, not all passwords are masked.