ZSA-2026-12

Date: 2026-06-24
Affected: Alle Versionen von Znuny LTS von 6.5.1 bis einschließlich 6.5.21.
Alle Versionen von Znuny 6.0, 6.1, 6.2, 6.3, 6.4.
Severity: medium
CVE: Not requested

Im Template AgentTicketEmailResend besteht eine Cross-Site Scripting (XSS)-Schwachstelle aufgrund fehlender HTML-Ausgabefilter. Benutzerkontrollierte Daten wurden ohne ausreichende HTML-Kodierung dargestellt, sodass Angreifer mit Zugang zur Agentenoberfläche potenziell beliebigen HTML-Code oder JavaScript im Sicherheitskontext einer anderen Benutzersitzung einschleusen und ausführen konnten.

Behoben in: Znuny LTS 6.5.22