漏洞描述
Ignite Realtime Openfire是Ignite Realtime社区的一款采用Java开发且基于XMPP(前称Jabber,即时通讯协议)的跨平台开源实时协作(RTC)服务器。它能够构建高效率的即时通信服务器,并支持上万并发用户数量。 Ignite Realtime Openfire 存在安全漏洞,该漏洞源于允许未经身份验证的用户在已配置的 Openfire 环境中使用未经身份验证的 Openfire 设置环境,以访问为管理用户保留的 Openfire 管理控制台中的受限页面,以下产品和版本受到影响:Openfire 3.10.0、3.10.1、3.10.2、3.10.3、4.0.0、4.0.1、4.0.2、4.0.3、4.0.4、4.1.0、4.1.1、4.1.2、4.1。 3、 4.1.4、 4.1.5、 4.1.6、 4.2.0、 4.2.1、 4.2.2、 4.2.3、 4.2.4、 4.3.0、 4.3.1、 4.3.2、 4.4.0、 4.4.1、4.4.2、4.4.3、4.4.4、4.5.0、4.5.1、4.5.2、4.5.3、4.5.4、4.5.5、4.5.6、4.6.0、4.6。 1、 4.6.2、 4.6.3、 4.6.4、 4.6.5、 4.6.6、 4.6.7、 4.7.0、 4.7.1、 4.7.2、 4.7.3、 4.7.4。
漏洞危害
可能导致攻击者获取敏感信息,如用户数据、商业机密等;对系统数据进行未授权的修改或删除;执行恶意操作,如安装后门、发起进一步的网络攻击;甚至可能导致整个系统或网络的瘫痪。
检测工具
修复方法
升级到 Openfire 4.7.5、4.6.8 或 4.8.0(一旦可用),从官方下载页面获取:https://www.igniterealtime.org/downloads/#openfire。
修改运行时配置文件,移除 'plugins/admin/webapp/WEB-INF/web.xml' 中 'excludes' 参数的所有 '*' 字符,并重启 Openfire。
将管理控制台绑定到本地回环接口,在 'conf/openfire.xml' 文件中的 '' 下添加 '127.0.0.1' 并重启 Openfire。
通过 Openfire 管理控制台安装 AuthFilterSanitizer 插件,或从以下地址下载:https://www.igniterealtime.org/projects/openfire/plugin-archive.jsp?plugin=authfiltersanitizer。
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞披露
2023-05-27
漏洞信息更新
2025-03-24
