【漏洞预警】Openfire存在身份认证绕过漏洞(CVE-2023-32315)

漏洞描述:    
Openfire 是免费的、开源的、基于可拓展通讯和表示协议(XMPP)、采用Java编程语言开发的实时协作服务器。Openfire安装和使用都非常简单，并利用Web进行管理。单台服务器甚至可支持上万并发用户。
Openfire 中存在路径遍历漏洞，远程攻击者利用该漏洞可以绕过身份认证。

影响版本:
3.10.0 <= Openfire < 4.6.8

4.7.0 <= Openfire < 4.7.5

如果一个实例Openfire受到影响，按照这些步骤。打开浏览器中的隐身模式，或者确保没有任何证会议与Openfire管理控制台。 打开下面的网址(可能修改的名服务器运行Openfire):

http://localhost:9090/setup/setup-s/%u002e%u002e/%u002e%u002e/log.jsp

如果这表示部分openfire日志文件，然后实例Openfire受此影响的脆弱性。 注意，不同版本的Openfire会显示一个不同的布局。较新版本的Openfire预期可以显示日志文件，在一个黑暗的背景，而旧的版本将展示一个很大程度上白页。(取决于内容的记录文件，这个网页可能是空洞的，除了一个头!)
如果没有重定向到登录网页，实例是有可能不受影响。

修复方法:

升级至安全版本4.6.8 或 4.7.5及以上
https://www.igniterealtime.org/downloads/#openfire

缓解方案:
限制网络访问，切勿将 Openfire 管理控制台暴露于互联网，使用网络安全措施，确保只有受信任成员才能访问。
使用身份验证过滤器清理器插件https://www.igniterealtime.org/projects/openfire/plugin-archive.jsp?plugin=authfiltersanitizer

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Openfire存在身份认证绕过漏洞(CVE-2023-32315)