Switch language to english
Znuny Professional Services

Der ((OTRS)) Community Edition Fork mit Langzeit-Support (LTS)

Überblick

ZSA-2026-07

Date
2026-03-25
Affected
Alle Versionen von Znuny LTS von 6.5.1 bis einschließlich 6.5.18.
Alle Versionen von Znuny von 7.2.1 bis einschließlich 7.2.3.
Alle Versionen von Znuny 6.0, 6.1, 6.2, 6.3, 6.4, 7.0 und 7.1.
Severity
medium
CVE
Nicht beantragt

Die Safety()-Methode in Kernel::System::HTMLUtils erkennt und entfernt keine schädlichen Skripte, wenn HTML-Zeichenentitäten in ihren dezimalen oder hexadezimalen Kodierungsformen mit führenden Nullen aufgefüllt werden. Browser normalisieren diese aufgefüllten Entitäten beim Rendering stillschweigend und führen das resultierende JavaScript aus, während der Sanitizer sie nicht als zu seinen Filtermustern passend erkennt.

Behoben in: Znuny LTS 6.5.19 und Znuny 7.3.1