【漏洞预警】Openfire身份认证绕过漏洞
2023-6-15 13:41:18 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏


1. 通告信息

近日,安识科技A-Team团队监测到Openfire 身份认证绕过漏洞(CVE-2023-32315),由于Openfire的路径名限制不恰当,未经身份认证的远程攻击者可以构造恶意请求利用该漏洞,成功利用此漏洞可以绕过身份认证登录管理界面。
对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。


2. 漏洞概述

CVECVE-2023-32315
简述:Openfire是免费的、开源的、基于可拓展通讯和表示协议(XMPP)、采用Java编程语言开发的实时协作服务器。Openfire安装和使用都非常简单,并利用Web进行管理。单台服务器甚至可支持上万并发用户。由于Openfire的路径名限制不恰当,未经身份认证的远程攻击者可以构造恶意请求利用该漏洞,成功利用此漏洞可以绕过身份认证登录管理界面。


3. 漏洞危害

攻击者可利用该漏洞在未授权的情况下,构造恶意请求利用该漏洞,成功利用此漏洞可以绕过身份认证登录管理界面。


4. 影响版本

3.10.0 <= Openfire < 4.6.8
4.7.0 <= Openfire 4.7.x < 4.7.5


5. 解决方案

升级版本至4.6.8或4.7.5及以上
https://github.com/igniterealtime/Openfire/releases


6. 时间轴

-】2023年06月14日 安识科技A-Team团队监测到Openfire身份认证绕过漏洞信息
-2023年06月15日 安识科技A-Team团队根据漏洞信息分析
-2023年06月15日 安识科技A-Team团队发布安全通告
       

文章来源: https://mp.weixin.qq.com/s?__biz=MzAxNDM3NTM0NQ==&mid=2657045372&idx=1&sn=234e1f50bc27a3c8df2bbff36a14a230&chksm=803faba2b74822b46c52ada054dacc1d440de1cfdbb5788f2a0783c97aa12d434424c4c02856&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh