OTRS: Kritische SQL-Injection CVE-2026-48188

Am 1. Juni 2026 wurde mit CVE-2026-48188 eine kritische Sicherheitslücke in der Helpdesk-Software OTRS und der ((OTRS)) Community Edition veröffentlicht. Die Lücke erhielt einen CVSS-Score von 9.1 und gilt als kritisch. Ein nicht authentifizierter Angreifer kann über eine SQL-Injection im Datenbankmodul einen Authentication Bypass durchführen und sich vollständigen Zugriff auf das Ticketsystem verschaffen.

Betroffene Versionen

Die Schwachstelle betrifft eine breite Palette an OTRS-Versionen. Besonders gefährdet sind Systeme, die noch auf älteren Versionen oder der eingestellten Community Edition basieren:

OTRS 7.0.X
OTRS 8.0.X
OTRS 2023.X
OTRS 2024.X
OTRS 2025.X
OTRS 2026.X vor 2026.4.X
((OTRS)) Community Edition 6.0.x
Produkte, die auf der ((OTRS)) Community Edition basieren

Hinweis: Die OTRS Community Edition wird offiziell nicht mehr weiterentwickelt. Nutzer sollten auf den Community-Fork Znuny migrieren, der weiterhin mit Bugfixes und Security-Patches versorgt wird.

Technische Details der Lücke

Die Schwachstelle liegt im Datenbankmodul von OTRS und wird durch Improper Input Validation (CWE-20) verursacht. Konkret kann ein Angreifer durch geschickte Eingaben im MySQL-Quote-Mechanismus eine SQL-Injection auslösen, die direkt zur Umgehung der Authentifizierung führt.

Eine wichtige Einschränkung besteht jedoch: Die Lücke ist nur ausnutzbar, wenn die zugrunde liegende MySQL- oder MariaDB-Datenbank mit dem SQL-Modus NO_BACKSLASH_ESCAPES konfiguriert ist. Dieser Modus verändert das Escape-Verhalten von Backslashes in SQL-Strings und ermöglicht es dem OTRS-Datenbanklayer, spezielle Zeichen nicht korrekt zu behandeln.

Da es sich um eine unauthentifizierte Schwachstelle handelt, benötigt der Angreifer weder gültige Anmeldedaten noch einen Account im System. Der Angriff kann aus dem Netzwerk erfolgen – was die kritische Einstufung rechtfertigt.

CVSS-Analyse

Mit einem CVSS v3.1-Score von 9.1 (kritisch) zeigt die Bewertung die enorme Gefahr dieser Lücke:

Attack Vector (AV): Network – Angriff aus dem Netzwerk möglich
Attack Complexity (AC): Low – Einfache Ausnutzbarkeit
Privileges Required (PR): None – Keine Berechtigungen nötig
User Interaction (UI): None – Keine Benutzerinteraktion erforderlich
Scope (S): Unchanged – Auswirkungen innerhalb des Systems
Confidentiality (C): High – Hoher Datenzugriff für den Angreifer
Integrity (I): High – Daten können manipuliert werden
Availability (A): None – Kein direkter Ausfall des Systems

Der Score ergibt sich aus der Kombination aus einfacher, netzwerkweiter Angriffsmöglichkeit ohne jegliche Authentifizierung und den hohen Auswirkungen auf Vertraulichkeit und Integrität der Ticketdaten.

Mögliche Angriffsszenarien

Ein erfolgreicher Angriff auf CVE-2026-48188 kann weitreichende Konsequenzen haben:

Authentication Bypass: Der Angreifer kann sich als legitimer Agent oder Administrator anmelden, ohne gültige Anmeldedaten zu besitzen.
Datenexfiltration: Zugriff auf alle Tickets, Kundendaten, E-Mail-Adressen, Telefonnummern, Anhänge und interne Bearbeitungsnotizen.
Datenmanipulation: Veränderung von Ticketinhalten, Zuweisungen und Status – potenziell mit rechtlichen Folgen.
Identitätsmissbrauch: Versand von Nachrichten im Namen echter Agenten an Kunden.
Social Engineering: Nutzung gewonnener Kundendaten für gezielte Angriffe auf die Endkunden.

Wie Sie prüfen, ob Sie betroffen sind

Nicht jedes OTRS-System ist automatisch gefährdet. Führen Sie folgende Checks durch:

1. Datenbank-SQL-Modus prüfen

Führen Sie auf Ihrer MySQL- oder MariaDB-Datenbank folgenden Befehl aus:

SELECT @@sql_mode;

Enthält die Ausgabe NO_BACKSLASH_ESCAPES, ist die Voraussetzung für einen erfolgreichen Angriff gegeben. Nutzen Sie PostgreSQL oder einen anderen SQL-Modus, sind Sie von dieser spezifischen Lücke nicht betroffen.

2. OTRS-Version ermitteln

Prüfen Sie Ihre installierte OTRS-Version in der Systemverwaltung oder über die Kommandozeile. Liegt die Version in einem der oben genannten betroffenen Bereiche und ist gleichzeitig NO_BACKSLASH_ESCAPES aktiv, besteht akute Handlungsbedarf.

Schutzmaßnahmen und Fixes

OTRS AG hat das Problem in den Versionen 2026.4.X und höher behoben. Die empfohlene Lösung ist ein Upgrade auf eine gepatchte Version.

Upgrade auf OTRS 2026.4.X oder höher – Dies ist der offiziell empfohlene Fix durch den Hersteller.
SQL-Modus anpassen – Sofern ein Upgrade kurzfristig nicht möglich ist, kann das Entfernen von NO_BACKSLASH_ESCAPES aus dem SQL-Modus als temporäre Workaround-Maßnahme dienen. Prüfen Sie jedoch vorher, ob andere Anwendungen davon abhängig sind.
Community Edition-Nutzer – Da die Community Edition offiziell nicht mehr gepflegt wird, wird es keine Patches geben. Betroffene sollten dringend auf Znuny migrieren oder den SQL-Modus anpassen.
WAF/IPS-Regeln – Eine Web Application Firewall mit entsprechenden SQL-Injection-Signaturen kann zusätzlichen Schutz bieten, ersetzt aber nicht das Update.

Wichtig: OTRS AG hat angekündigt, dass es keine Patches für OTRS 7 geben wird. Systeme auf dieser Version müssen auf eine aktuelle Version migriert werden.

Fazit

CVE-2026-48188 ist eine ernstzunehmende, kritische Sicherheitslücke, die OTRS-Administratoren nicht ignorieren sollten. Die Kombination aus unauthentifiziertem Fernzugriff, einfacher Ausnutzbarkeit und potenziellem Zugriff auf sensible Helpdesk-Daten rechtfertigt die CVSS-Einstufung von 9.1.

Da die Ausnutzbarkeit von der Datenbankkonfiguration abhängt, sollten Betreiber zunächst prüfen, ob ihr System die kritische Kombination aus betroffener OTRS-Version und NO_BACKSLASH_ESCAPES-Modus aufweist. Ist dies der Fall, ist umgehendes Handeln erforderlich – sei es durch ein Upgrade auf OTRS 2026.4.X, das Anpassen des SQL-Modus oder die Migration auf eine gepflegte Alternative wie Znuny.

Da zum Zeitpunkt der Veröffentlichung noch kein öffentlicher Proof-of-Concept verfügbar ist, bleibt ein Zeitfenster für Administratoren, ihre Systeme zu sichern – bevor automatisierte Angriffe diese Lücke massenhaft ausnutzen.