Openfire Console 存在鉴权绕过漏洞
漏洞描述
Ignite Realtime Openfire是Ignite Realtime社区的一款采用Java开发且基于XMPP(前称Jabber,即时通讯协议)的跨平台开源实时协作(RTC)服务器。它能够构建高效率的即时通信服务器,并支持上万并发用户数量。 Ignite Realtime Openfire 存在安全漏洞,该漏洞源于允许未经身份验证的用户在已配置的 Openfire 环境中使用未经身份验证的 Openfire 设置环境,以访问为管理用户保留的 Openfire 管理控制台中的受限页面,以下产品和版本受到影响:Openfire 3.10.0、3.10.1、3.10.2、3.10.3、4.0.0、4.0.1、4.0.2、4.0.3、4.0.4、4.1.0、4.1.1、4.1.2、4.1。 3、 4.1.4、 4.1.5、 4.1.6、 4.2.0、 4.2.1、 4.2.2、 4.2.3、 4.2.4、 4.3.0、 4.3.1、 4.3.2、 4.4.0、 4.4.1、4.4.2、4.4.3、4.4.4、4.5.0、4.5.1、4.5.2、4.5.3、4.5.4、4.5.5、4.5.6、4.6.0、4.6。 1、 4.6.2、 4.6.3、 4.6.4、 4.6.5、 4.6.6、 4.6.7、 4.7.0、 4.7.1、 4.7.2、 4.7.3、 4.7.4。
漏洞危害
可能导致攻击者获取敏感信息,如用户数据、商业机密等;对系统数据进行未授权的修改或删除;执行恶意操作,如安装后门、发起进一步的网络攻击;甚至可能导致整个系统或网络的瘫痪。
检测工具
修复方法
一、升级修复方案:
官方已发布安全修复版本,建议受影响的用户升级至最新版本,下载地址:
https://www.igniterealtime.org/downloads/index.jsp
二、临时缓解措施
1、在不影响业务的情况下配置URL访问控制策略
2、如非必要,避免将资产直接暴露在互联网
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞披露
2023-05-27
漏洞信息更新
2025-02-10
