Sicherheits-Release

Zammad 6.4.2

2. April 2025 · Dieses Release enthält wichtige Sicherheitspatches. Bitte lesen Sie die Release-Notes sorgfältig und aktualisieren Sie Ihr Zammad-System zeitnah.

Server Side Request Forgery (SSRF)

Authentifizierte Admins können Webhooks in Zammad aktivieren, die als POST-Anfragen ausgelöst werden, wenn bestimmte Bedingungen erfüllt sind. Wenn ein Webhook-Endpunkt eine Redirect-Antwort zurückgibt, würde Zammad automatisch eine weitere GET-Anfrage stellen. Dies könnte von einem Angreifer missbraucht werden, um z. B. GET-Anfragen im lokalen Netzwerk auszulösen. Dieses Problem wurde behoben.

📖 Weitere Details finden Sie in der Security Advisory ZAA-2025-01.

Inkorrekte Zugriffskontrolle (2FA)

Wenn die Konfiguration der Zwei-Faktor-Authentifizierung geändert wird, müssen sich die Benutzer zunächst mit ihrem aktuellen Passwort neu authentifizieren. Diese Änderung wurde in Zammad jedoch nur auf der Frontend-Ebene durchgesetzt, nicht aber bei der direkten Verwendung der API.

📖 Weitere Details finden Sie in der Security Advisory ZAA-2025-02.

Inkorrekte Zugriffskontrolle auf Artikelentwürfe

In Zammad können nur Agenten freigegebene Artikelentwürfe sehen und bearbeiten. Ein eingeloggter Kunde konnte jedoch in der Browserkonsole Details zu freigegebenen Entwürfen für seine Kundentickets sehen, die vertrauliche Informationen enthalten können, und diese auch über die API manipulieren. Die Lücke wurde geschlossen.

📖 Weitere Details finden Sie in der Security Advisory ZAA-2025-03.

Inkorrekte Zugriffskontrolle (Wissensdatenbank)

Ein authentifizierter Agent mit Berechtigungen für die Wissensdatenbank konnte die Zammad-API verwenden, um Inhalte der Wissensdatenbank abzurufen, für die er keine Berechtigung hatte. Die Rechteprüfung wurde entsprechend angepasst.

📖 Weitere Details finden Sie in der Security Advisory ZAA-2025-04.

Technische Anforderungen

Bitte beachten Sie, dass Sie die folgenden Browser-Voraussetzungen erfüllen müssen, um diese Version nutzen zu können:

Chrome: 83
Firefox: 78
Explorer: 11
Safari: 11
Opera: 69
Edge: 83

Advisories

ZAA-2025-01
ZAA-2025-02
ZAA-2025-03
ZAA-2025-04

Zammad 6.4.2 herunterladen

Alle Verbesserungen finden Sie im Changelog.

Packages

Source code

ftp.zammad.com/zammad-6.4.2.tar.bz2 (f5d9965a036010d151e0229561d79a6a)
ftp.zammad.com/zammad-6.4.2.tar.gz (333067a44ec600e18bfef8bbce2cc0ed)
ftp.zammad.com/zammad-6.4.2.zip (0fecdd8f4d14b3a0c2d10d1089339bb9)

Upgrade

Hier können Sie Informationen zum Aktualisieren Ihrer Zammad-Installation finden: