近日,安识科技A-Team团队监测到Openfire 身份认证绕过漏洞(CVE-2023-32315),由于Openfire的路径名限制不恰当,未经身份认证的远程攻击者可以构造恶意请求利用该漏洞,成功利用此漏洞可以绕过身份认证登录管理界面。
对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。
简述:Openfire是免费的、开源的、基于可拓展通讯和表示协议(XMPP)、采用Java编程语言开发的实时协作服务器。Openfire安装和使用都非常简单,并利用Web进行管理。单台服务器甚至可支持上万并发用户。由于Openfire的路径名限制不恰当,未经身份认证的远程攻击者可以构造恶意请求利用该漏洞,成功利用此漏洞可以绕过身份认证登录管理界面。
攻击者可利用该漏洞在未授权的情况下,构造恶意请求利用该漏洞,成功利用此漏洞可以绕过身份认证登录管理界面。
3.10.0 <= Openfire < 4.6.8
4.7.0 <= Openfire 4.7.x < 4.7.5
https://github.com/igniterealtime/Openfire/releases
【-】2023年06月14日 安识科技A-Team团队监测到Openfire身份认证绕过漏洞信息
【-】2023年06月15日 安识科技A-Team团队根据漏洞信息分析
【-】2023年06月15日 安识科技A-Team团队发布安全通告
原文始发于微信公众号(SecPulse安全脉搏):【漏洞预警】Openfire身份认证绕过漏洞
评论