Security Release
Zammad 6.5.3
· Zammad 6.5.3 ist ein Sicherheitsrelease, das alle rückportierbaren Fehlerbehebungen für Nutzer der Version 6.5 enthält, die noch nicht auf Version 7.0 aktualisieren können.
Lesen Sie weiter für alle Details:
Einspeisung sensibler Informationen in Logdateien
Es wurde eine Schwachstelle identifiziert, bei der Zammad während des Starts den Inhalt der Umgebungsvariable REDIS_URL in Logdateien geschrieben hat. Diese Variable kann Zugangsdaten enthalten.
📖 Weitere Details finden Sie im Security Advisory ZAA-2026-02
Fehlerhafte Zugriffskontrolle
Ticketkunden konnten die API nutzen, um ihre Tickets in andere Gruppen zu verschieben, für die sie keine Berechtigungen hatten. Dieses Verhalten wurde korrigiert und ist nun nicht mehr möglich.
📖 Weitere Details finden Sie im Security Advisory ZAA-2026-03
Offenlegung sensibler Informationen an nicht autorisierte Nutzer
Nicht autorisierte Nutzer konnten über die API Informationen über interne Importstatus-Metadaten abrufen. Dies ist nun nicht mehr möglich.
📖 Weitere Details finden Sie im Security Advisory ZAA-2026-04
Umgehung der Autorisierung durch nutzerkontrollierten Schlüssel
Autorisierte Agenten konnten über den Endpunkt 'ticket_related' Asset-Daten beliebiger Tickets abrufen, einschließlich Kunden- und zugehöriger Nutzerinformationen. Dieses Verhalten wurde behoben.
📖 Weitere Details finden Sie im Security Advisory ZAA-2026-05
SQL-Injection
Aufgrund unzureichender Bereinigung von SQL-Statements konnten autorisierte Agenten oder Ticket-Kunden über mehrere API-Endpunkte eigene SQL-Anweisungen einschleusen. Dies konnte zur Ausführung unerwünschter Datenbankoperationen führen.
📖 Weitere Details finden Sie im Security Advisory ZAA-2026-06
