osTicket v1.18.3 - v1.17.7 - BOLA/IDOR in ticket field viewing allows cross-department data disclosure
38Vexday Risk Score
Sin señal de explotación. Ella tiene prueba de concepto pública.
ssvc Attendcvss 7.1
de la publicación al arma0 días
Publicada en NVD17 jul
1ª PoC28 mar
probabilidad de explotación
—
explotación observada
noninguna fuente lo reporta
1 exploit(s) público(s)
osTicket versions v1.18.3 and v1.17.7 contain a Broken Object Level Authorization (BOLA) leading to Insecure Direct Object Reference (IDOR) in the AJAX ticket-management subsystem.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Productos afectados
osTicket · osTicketPoCs públicas encontradas — 1
githubgithub.com/JFOZ1010/CVE-2026-14871★ 0⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.