ZSA-2026-02

Date: 2026-03-25
Affected: Alle Versionen von Znuny LTS von 6.5.1 bis einschließlich 6.5.18.
Alle Versionen von Znuny von 7.2.1 bis einschließlich 7.2.3.
Alle Versionen von Znuny 6.0, 6.1, 6.2, 6.3, 6.4, 7.0 und 7.1.
Severity: medium
CVE: CVE-2025-59490

In mehreren Action-Endpunkten der Anwendung besteht eine Reflected Cross-Site Scripting (XSS)-Schwachstelle, die auf unzureichende Validierung und Bereinigung benutzerseitig übermittelter Parameter zurückzuführen ist. Insbesondere werden Parameter wie QueueID, OrderBy, ServiceID und SortBy ohne ordnungsgemäße Kodierung in die Antwort zurückgegeben, was Angreifern die Einschleusung beliebigen JavaScripts ermöglicht. Wird eine präparierte, bösartige URL an ein Opfer übermittelt (z. B. per Phishing) und von diesem aufgerufen, wird der Schadcode im Browser des Opfers innerhalb des Sicherheitskontexts seiner Sitzung ausgeführt. Bei privilegierten Konten wie Administratoren kann dies zum Diebstahl sensibler Sitzungsinformationen (SessionID) und zur vollständigen Kontoübernahme führen.

Behoben in: Znuny LTS 6.5.19 und Znuny 7.3.1