Zammad 6.4.2
· Dieses Release enthält wichtige Sicherheitspatches. Bitte lesen Sie die Release-Notes sorgfältig und aktualisieren Sie Ihr Zammad-System zeitnah.
· Dieses Release enthält wichtige Sicherheitspatches. Bitte lesen Sie die Release-Notes sorgfältig und aktualisieren Sie Ihr Zammad-System zeitnah.
Authentifizierte Admins können Webhooks in Zammad aktivieren, die als POST-Anfragen ausgelöst werden, wenn bestimmte Bedingungen erfüllt sind. Wenn ein Webhook-Endpunkt eine Redirect-Antwort zurückgibt, würde Zammad automatisch eine weitere GET-Anfrage stellen. Dies könnte von einem Angreifer missbraucht werden, um z. B. GET-Anfragen im lokalen Netzwerk auszulösen. Dieses Problem wurde behoben.
📖 Weitere Details finden Sie in der Security Advisory ZAA-2025-01.
Wenn die Konfiguration der Zwei-Faktor-Authentifizierung geändert wird, müssen sich die Benutzer zunächst mit ihrem aktuellen Passwort neu authentifizieren. Diese Änderung wurde in Zammad jedoch nur auf der Frontend-Ebene durchgesetzt, nicht aber bei der direkten Verwendung der API.
📖 Weitere Details finden Sie in der Security Advisory ZAA-2025-02.
In Zammad können nur Agenten freigegebene Artikelentwürfe sehen und bearbeiten. Ein eingeloggter Kunde konnte jedoch in der Browserkonsole Details zu freigegebenen Entwürfen für seine Kundentickets sehen, die vertrauliche Informationen enthalten können, und diese auch über die API manipulieren. Die Lücke wurde geschlossen.
📖 Weitere Details finden Sie in der Security Advisory ZAA-2025-03.
Ein authentifizierter Agent mit Berechtigungen für die Wissensdatenbank konnte die Zammad-API verwenden, um Inhalte der Wissensdatenbank abzurufen, für die er keine Berechtigung hatte. Die Rechteprüfung wurde entsprechend angepasst.
📖 Weitere Details finden Sie in der Security Advisory ZAA-2025-04.
Bitte beachten Sie, dass Sie die folgenden Browser-Voraussetzungen erfüllen müssen, um diese Version nutzen zu können:
ZAA-2025-01
ZAA-2025-02
ZAA-2025-03
ZAA-2025-04
Alle Verbesserungen finden Sie im Changelog.
Hier können Sie Informationen zum Aktualisieren Ihrer Zammad-Installation finden: