CVE-2025-24387
Missing CSRF protection
En resumen
Las cookies de autenticación de OTRS carecen de configuraciones de seguridad adecuadas en conexiones HTTPS, permitiendo que sitios maliciosos roben sesiones de usuario y realicen acciones no autorizadas. Esto ocurre porque las cookies no tienen protecciones que eviten su envío a sitios no confiables.
Detalle técnico
El OTRS Application Server no establece los atributos SameSite y Secure en las cookies de autenticación, habilitando ataques CSRF donde un sitio malicioso puede desencadenar solicitudes que incluyan cookies de sesión válidas. Un atacante puede ejecutar operaciones de lectura no autorizadas al elaborar solicitudes desde una página web comprometida visitada por un usuario autenticado.
Resumen generado y traducido por IA a partir de la descripción oficial.
A vulnerability in OTRS Application Server allows session hijacking due to missing attributes for sensitive
cookie settings in HTTPS sessions. A request to an OTRS endpoint from a possible malicious web site, would send the authentication cookie, performing an unwanted read operation.
This issue affects:
* OTRS 7.0.X
* OTRS 8.0.X
* OTRS 2023.X
* OTRS 2024.X
* OTRS 2025.x
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N
Productos afectados
OTRS AG · OTRS¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →