Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CVE-2026-48208

PUBLISHED 01.06.2026

CNA: OTRS

Denial-of-Service via SVG Rendering in Ticket

Обновлено: 01.06.2026
An improper neutralization of active SVG content in OTRS or ((OTRS)) Community Edition ticket article rendering allows attackers to inject specially crafted SVG payloads via email content, leading to browser-side resource exhaustion and denial of service when affected tickets are opened by an agent or customer. The issue can be exploited without JavaScript execution and is not mitigated by the configured Content Security Policy (CSP). This issue affects OTRS: * 7.0.X * 8.0.X * 2023.X * 2024.X * 2025.X * 2026.X before 2026.4.X Please note that ((OTRS)) Community Edition 6.x and before are vulnerable. Products based on the ((OTRS)) Community Edition also very likely to be affected

CWE

Идентификатор Описание
CWE-400 The product does not properly control the allocation and maintenance of a limited resource.
CWE-791 The product receives data from an upstream component, but does not completely filter special elements before sending it to a downstream component.

CVSS

Оценка Severity Версия Базовый вектор
6.5 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Доп. Информация

Product Status

OTRS
Product: OTRS
Vendor: OTRS AG
Default status: affected
Версии:
Затронутые версии Статус
Наблюдалось в версии 7.0.x affected
Наблюдалось в версии 8.0.x affected
Наблюдалось в версии 2023.x affected
Наблюдалось в версии 2024.x affected
Наблюдалось в версии 2025.x affected
Наблюдалось до версии 2026.3.x affected
((OTRS)) Community Edition
Product: ((OTRS)) Community Edition
Vendor: OTRS AG
Default status: affected
Версии:
Затронутые версии Статус
Наблюдалось в версии 6.x affected
 

Ссылки

CISA ADP Vulnrichment

Обновлено: 01.06.2026
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none no partial 2.0.3 01.06.2026

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.