漏洞情报 | Openfire 管理控制台身份认证绕过(CVE-2023-32315)
2023-6-14 13:50:59 Author: mp.weixin.qq.com(查看原文) 阅读量:14 收藏

1.1  漏洞概述

近日,斗象科技漏洞情报中心监控到公网公开披露了Openfire 管理控制台身份认证绕过(CVE-2023-32315)漏洞。

Openfire是一个基于XMPP协议的实时协作服务器,Openfire可以用来搭建聊天室、群组、视频会议等应用。Openfire还提供了多种插件和扩展,以增强其功能和兼容性。

1.2  影响范围

3.10.0 <= Openfire < 4.6.8

4.7.0 <= Openfire < 4.7.5 

1.3  复现环境

Openfire 4.7.4

1.4  漏洞复现

未经身份验证的攻击者可以利用该漏洞绕过身份验证,上传恶意插件进行RCE利用。

1.5  修复建议

>> 1.5.1  版本升级

厂商已发布了漏洞修复程序,请使用此产品的用户尽快更新至安全版本:

Openfire 4.6.8

Openfire 4.7.5 

官方下载链接:

https://www.igniterealtime.org/


文章来源: https://mp.weixin.qq.com/s?__biz=MzIwMjcyNzA5Mw==&mid=2247490965&idx=2&sn=5c3548137126ae4105fffea78a2c538c&chksm=96db164fa1ac9f597f04d210ccc22dfadf35646015ad4ebe08812162099043c675cd22953843&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh