Podatność improper Input Validation w warstwie bazy danych systemu OTRS oraz ((OTRS)) Community Edition umożliwia nieuwierzytelnionemu atakującemu przeprowadzenie ataku SQL injection. Skutkuje to pominięciem mechanizmu uwierzytelnienia (authentication bypass), co czyni ją krytycznym zagrożeniem dla dostępności systemu i danych.
▸ Pokaż oryginał (EN)
An improper Input Validation vulnerability in OTRS or ((OTRS)) Community Edition database layer module allows an unauthenticated SQL injection which can lead to an authentication bypass. This issue only affects the system if the MySQL/MariaDB server is configured with the NO_BACKSLASH_ESCAPES SQL mode. This issue affects OTRS: * 7.0.X * 8.0.X * 2023.X * 2024.X * 2025.X * 2026.X before 2026.4.X * (OTRS)) Community Edition: 6.0.x Products based on the ((OTRS)) Community Edition also very likely to be affected
Podatność wynika z nieprawidłowej walidacji danych wejściowych w module warstwy bazy danych. Atakujący może przesłać spreparowane zapytanie zawierające złośliwy payload SQL bez konieczności posiadania jakichkolwiek uprawnień. Atak jest możliwy wyłącznie wtedy, gdy serwer MySQL lub MariaDB jest skonfigurowany z trybem SQL NO_BACKSLASH_ESCAPES — w tym trybie standardowy mechanizm eskejpowania odwrotnego ukośnika jest wyłączony, co uniemożliwia skuteczną neutralizację złośliwych ciągów wejściowych przez aplikację. Pozwala to na manipulację zapytaniami SQL i ominięcie weryfikacji tożsamości użytkownika.
Atakujący bez żadnych uprawnień może uzyskać nieautoryzowany dostęp do systemu OTRS poprzez pominięcie mechanizmu logowania, co prowadzi do wysokiego naruszenia poufności oraz integralności przetwarzanych danych.
Należy zaktualizować OTRS do wersji 2026.4.X lub nowszej. Dla pozostałych gałęzi (7.0.X, 8.0.X, 2023.X, 2024.X, 2025.X) oraz ((OTRS)) Community Edition 6.0.x należy zastosować patche dostępne u producenta zgodnie z referencjami (https://otrs.com/release-notes/otrs-security-advisory-2026-02/). Jako natychmiastowe obejście można rozważyć usunięcie trybu NO_BACKSLASH_ESCAPES z konfiguracji serwera MySQL/MariaDB, jeśli jest to dopuszczalne operacyjnie.
OTRS w wersjach 7.0.X, 8.0.X, 2023.X, 2024.X, 2025.X oraz 2026.X przed 2026.4.X; ((OTRS)) Community Edition w wersji 6.0.x; produkty oparte na ((OTRS)) Community Edition są z dużym prawdopodobieństwem również podatne. Podatność ujawnia się wyłącznie przy konfiguracji serwera MySQL/MariaDB z trybem SQL NO_BACKSLASH_ESCAPES.
Podatność dotyczy wyłącznie środowisk, w których serwer MySQL lub MariaDB jest skonfigurowany z trybem SQL NO_BACKSLASH_ESCAPES — instalacje z domyślną konfiguracją serwera bazy danych nie są narażone. Produkty innych dostawców oparte na ((OTRS)) Community Edition są według producenta z dużym prawdopodobieństwem również podatne.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NOtrs
APPOtrs≤ 6.0.327.0.0 – 8.0.372023.0.0 – 2026.4.1 (bez)
Powiązane podatności
An improper neutralization of user-controllable input in OTRS or ((OTRS)) Community Edition ticket handling al...
A Vulnerability in OTRS AgentInterface and ExternalInterface allows the reading of plain text passwords which ...
The functions to fetch e-mail via POP3 or IMAP as well as sending e-mail via SMTP use OpenSSL for static SSL o...
Improper Neutralization of commands allowed to be executed via OTRS System Configuration e.g. SchedulerCronTas...
Improper Authorization vulnerability in OTRS AG OTRS 8 (Websocket API backend) allows any as Agent authenticat...