Feature-Liste KIX18 v35.2 - Security Patch Release (!)

[Torsten Thau]

Buildnummern: - / Pro: - / SSP: 245 → v35.2 (verfügbar ab 2025-09-19)

Bitte aktualisieren Sie ihr KIX v35.1 so zügig wie möglich auf das aktuelle KIX Release v35.2 um eine Sicherheitslücke zu schließen!



Betroffenes Produkt: KIX18
Betroffene Versionen: v35.1
Beschreibung der Schwachstelle: Durch fehlendes Sandboxing könnten in der Artikelanzeige im HTML-Emails eingebettete Skripte ausgeführt werden.
Auswirkung: Die Artikeldarstellung ermöglicht das Ausführen von Code und damit KIX Aktionen ohne entsprechende Berechtigung.
Lösungsansatz: Die Ausführung von Skripten in der Artikeldarstellung wurde unterbunden.

Nach dem Update muss die Frontend-Applikation neu gebaut werden um zu wirken.

Dies geht über eine Kommandozeile auf dem Docker-Host:

Code Auswählen Erweitern

dockeruser@dockerhost:/opt//kix-on-premise/deploy/linux$ docker exec -it kix-frontend-1 npm run-script application-prebuild

...oder in der KIX-Admin-Oberfläche via Admin / KIX / Application →  "agent-portal": Klick auf "Build" und anschließend KIX neu laden bzw. einen Browser-Reload durchführen. Alle geöffnete KIX-Browser-Fenster müssen nun einen Reload ausführen.



---------------------------------------------------------------------------------------------------------------------------------------

(XI) BUGFIXING

Folgende Fehler wurden in diesem Release gefixt.

• KIX2018-12843 - Tickethistorie :: XSS Vulnerability in Artikelansicht ermöglicht Script-Ausführung