CRITICAL✓ PATCH🇬🇧 English

CVE-2026-48188

OTRS / Community Edition: SQL injection z pominięciem uwierzytelnienia

CVSS 9.1v3.1pub. 2026-06-01upd. 2026-06-15

Podatność improper Input Validation w warstwie bazy danych systemu OTRS oraz ((OTRS)) Community Edition umożliwia nieuwierzytelnionemu atakującemu przeprowadzenie ataku SQL injection. Skutkuje to pominięciem mechanizmu uwierzytelnienia (authentication bypass), co czyni ją krytycznym zagrożeniem dla dostępności systemu i danych.

Pokaż oryginał (EN)

An improper Input Validation vulnerability in OTRS or ((OTRS)) Community Edition database layer module allows an unauthenticated SQL injection which can lead to an authentication bypass. This issue only affects the system if the MySQL/MariaDB server is configured with the NO_BACKSLASH_ESCAPES SQL mode. This issue affects OTRS: * 7.0.X * 8.0.X * 2023.X * 2024.X * 2025.X * 2026.X before 2026.4.X * (OTRS)) Community Edition: 6.0.x Products based on the ((OTRS)) Community Edition also very likely to be affected

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej walidacji danych wejściowych w module warstwy bazy danych. Atakujący może przesłać spreparowane zapytanie zawierające złośliwy payload SQL bez konieczności posiadania jakichkolwiek uprawnień. Atak jest możliwy wyłącznie wtedy, gdy serwer MySQL lub MariaDB jest skonfigurowany z trybem SQL NO_BACKSLASH_ESCAPES — w tym trybie standardowy mechanizm eskejpowania odwrotnego ukośnika jest wyłączony, co uniemożliwia skuteczną neutralizację złośliwych ciągów wejściowych przez aplikację. Pozwala to na manipulację zapytaniami SQL i ominięcie weryfikacji tożsamości użytkownika.

Skutki

Atakujący bez żadnych uprawnień może uzyskać nieautoryzowany dostęp do systemu OTRS poprzez pominięcie mechanizmu logowania, co prowadzi do wysokiego naruszenia poufności oraz integralności przetwarzanych danych.

Mitygacja

Należy zaktualizować OTRS do wersji 2026.4.X lub nowszej. Dla pozostałych gałęzi (7.0.X, 8.0.X, 2023.X, 2024.X, 2025.X) oraz ((OTRS)) Community Edition 6.0.x należy zastosować patche dostępne u producenta zgodnie z referencjami (https://otrs.com/release-notes/otrs-security-advisory-2026-02/). Jako natychmiastowe obejście można rozważyć usunięcie trybu NO_BACKSLASH_ESCAPES z konfiguracji serwera MySQL/MariaDB, jeśli jest to dopuszczalne operacyjnie.

Kogo dotyczy

OTRS w wersjach 7.0.X, 8.0.X, 2023.X, 2024.X, 2025.X oraz 2026.X przed 2026.4.X; ((OTRS)) Community Edition w wersji 6.0.x; produkty oparte na ((OTRS)) Community Edition są z dużym prawdopodobieństwem również podatne. Podatność ujawnia się wyłącznie przy konfiguracji serwera MySQL/MariaDB z trybem SQL NO_BACKSLASH_ESCAPES.

Uwagi

Podatność dotyczy wyłącznie środowisk, w których serwer MySQL lub MariaDB jest skonfigurowany z trybem SQL NO_BACKSLASH_ESCAPES — instalacje z domyślną konfiguracją serwera bazy danych nie są narażone. Produkty innych dostawców oparte na ((OTRS)) Community Edition są według producenta z dużym prawdopodobieństwem również podatne.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Otrs

    APP
    Otrs
    ≤ 6.0.327.0.0 – 8.0.372023.0.0 – 2026.4.1 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SQLiAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-48209HIGH7.1ten sam produkt

An improper neutralization of user-controllable input in OTRS or ((OTRS)) Community Edition ticket handling al...

CVE-2023-6254HIGH8.1ten sam produkt

A Vulnerability in OTRS AgentInterface and ExternalInterface allows the reading of plain text passwords which ...

CVE-2023-5422HIGH8.7ten sam produkt

The functions to fetch e-mail via POP3 or IMAP as well as sending e-mail via SMTP use OpenSSL for static SSL o...

CVE-2023-38056HIGH7.2ten sam produkt

Improper Neutralization of commands allowed to be executed via OTRS System Configuration e.g. SchedulerCronTas...

CVE-2023-2534HIGH7.6ten sam produkt

Improper Authorization vulnerability in OTRS AG OTRS 8 (Websocket API backend) allows any as Agent authenticat...