VYPR
Medium severity6.1NVD Advisory· Published Feb 17, 2017· Updated Jun 17, 2026

CVE-2016-9139

CVE-2016-9139

Description

Cross-site scripting (XSS) vulnerability in Open Ticket Request System (OTRS) 3.3.x before 3.3.16, 4.0.x before 4.0.19, and 5.0.x before 5.0.14 allows remote attackers to inject arbitrary web script or HTML via a crafted attachment.

Affected products

136
  • OTRS/Otrs134 versions
    cpe:2.3:a:otrs:otrs:3.0.0:beta1:*:*:*:*:*:*+ 133 more
    • cpe:2.3:a:otrs:otrs:3.0.0:beta1:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.0:beta2:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.0:beta3:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.0:beta4:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.0:beta5:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.0:beta6:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.0:beta7:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.1:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.10:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.11:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.12:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.13:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.14:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.15:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.16:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.17:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.2:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.3:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.4:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.5:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.6:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.7:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.8:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.0.9:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.0:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.1:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.10:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.11:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.13:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.14:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.15:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.16:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.17:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.18:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.19:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.2:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.20:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.21:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.3:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.4:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.5:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.6:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.7:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.8:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.1.9:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.0:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.0:beta1:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.0:beta2:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.0:beta3:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.0:beta4:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.0:beta5:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.0:rc1:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.1:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.10:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.11:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.12:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.13:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.14:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.15:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.16:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.2:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.3:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.4:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.5:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.6:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.7:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.8:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.2.9:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.0:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.0:beta1:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.0:beta2:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.0:beta3:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.0:beta4:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.0:beta5:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.0:rc1:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.1:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.10:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.11:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.12:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.13:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.14:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.15:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.2:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.3:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.4:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.5:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.6:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.7:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.8:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:3.3.9:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.0:beta1:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.0:beta2:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.0:beta3:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.0:beta4:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.0:beta5:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.0:rc1:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.1:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.10:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.11:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.12:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.13:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.14:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.15:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.16:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.17:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.18:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.2:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.3:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.4:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.5:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.6:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.7:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.8:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:4.0.9:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.0:beta1:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.0:beta2:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.0:beta3:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.0:beta4:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.0:beta5:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.0:rc1:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.1:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.10:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.11:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.12:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.13:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.2:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.3:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.4:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.5:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.6:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.7:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.8:*:*:*:*:*:*:*
    • cpe:2.3:a:otrs:otrs:5.0.9:*:*:*:*:*:*:*
    • (no CPE)range: <3.3.16, <4.0.19, <5.0.14
  • Range: <3.3.16, <4.0.19, <5.0.14

Patches

Vulnerability mechanics

References

2

News mentions

0

No linked articles in our index yet.