Zammad 7.0.1 & 6.5.4

Empfohlene Maßnahme

SaaS-Kunden: Es sind keine Schritte erforderlich. Ihre Instanzen wurden bereits durch unser Team aktualisiert und abgesichert.

Selbst gehostete Installationen: Wir empfehlen dringend, Ihr System umgehend auf die neueste Zammad-Version zu aktualisieren, um den Schutz Ihrer Installation sicherzustellen.

Zammad 7.0.1

Alle technischen Details finden Sie in den Security Advisories auf GitHub.

Behobene Sicherheitslücken

• Informationsoffenlegung in der Ticket-Detailansicht für Kunden in gemeinsam genutzten Organisationen
  https://github.com/zammad/zammad/security/advisories/GHSA-prww-84vh-w978
• Fehlerhafte Zugriffskontrolle im getting_started_controller
  https://github.com/zammad/zammad/security/advisories/GHSA-hcm9-ch62-5727
• Unzureichende Neutralisierung skriptbezogener HTML-Tags in Ticket-Artikeln
  https://github.com/zammad/zammad/security/advisories/GHSA-c2cf-9fc7-jhf3
• Unzureichende Zugriffskontrolle im AI-Assistenz-Controller für Text-Tools
  https://github.com/zammad/zammad/security/advisories/GHSA-96r7-29c8-2j7q
• Server-Side Template Injection (SSTI) mit möglicher Remote Code Execution (RCE) über den AI-Agent-Typ type_enrichment_data
  https://github.com/zammad/zammad/security/advisories/GHSA-fg9w-jg8f-4j94
• Fehlende Autorisierung im AI-Assistenz-Controller für Kontextdaten in Text-Tools
  https://github.com/zammad/zammad/security/advisories/GHSA-89vv-6639-wcv8
• Server-Side Request Forgery (SSRF) über Webhooks
  https://github.com/zammad/zammad/security/advisories/GHSA-2vgc-vfh2-rw75
• Cross-Site Request Forgery (CSRF) in OAuth-Callback-Endpunkten
  https://github.com/zammad/zammad/security/advisories/GHSA-mfwp-hx66-626c
• Fehlerhafte Origin-Validierung im SSO-Mechanismus
  https://github.com/zammad/zammad/security/advisories/GHSA-hcv6-w4h9-p2p7
• Fehlende Autorisierung im Ticket-Erstellungs-Endpunkt
  https://github.com/zammad/zammad/security/advisories/GHSA-28m3-wwgv-ppw8

Zammad 6.5.4

Für vollständige technische Details lesen Sie bitte die Security Advisories auf GitHub.

Behobene Sicherheitslücken

• Fehlerhafte Zugriffskontrolle im getting_started_controller
  https://github.com/zammad/zammad/security/advisories/GHSA-hcm9-ch62-5727
• Unzureichende Neutralisierung skriptbezogener HTML-Tags in Ticket-Artikeln
  https://github.com/zammad/zammad/security/advisories/GHSA-c2cf-9fc7-jhf3
• Server-Side Request Forgery (SSRF) über Webhooks
  https://github.com/zammad/zammad/security/advisories/GHSA-2vgc-vfh2-rw75
• Cross-Site Request Forgery (CSRF) in OAuth-Callback-Endpunkten
  https://github.com/zammad/zammad/security/advisories/GHSA-mfwp-hx66-626c
• Fehlerhafte Origin-Validierung im SSO-Mechanismus
  https://github.com/zammad/zammad/security/advisories/GHSA-hcv6-w4h9-p2p7
• Fehlende Autorisierung im Ticket-Erstellungs-Endpunkt
  https://github.com/zammad/zammad/security/advisories/GHSA-28m3-wwgv-ppw8