漏洞情报 | Openfire 管理控制台身份认证绕过(CVE-2023-32315)

发布于 作者:

漏洞情报 | Openfire 管理控制台身份认证绕过(CVE-2023-32315)

斗象智能安全 2023-06-14 13:51

1.1  漏洞概述

近日,斗象科技漏洞情报中心监控到公网公开披露了Openfire 管理控制台身份认证绕过(CVE-2023-32315)漏洞。

Openfire是一个基于XMPP协议的实时协作服务器,Openfire可以用来搭建聊天室、群组、视频会议等应用。Openfire还提供了多种插件和扩展,以增强其功能和兼容性。

1.2  影响范围

3.10.0 <= Openfire < 4.6.8

4.7.0 <= Openfire < 4.7.5 

1.3  复现环境

Openfire 4.7.4

1.4  漏洞复现

未经身份验证的攻击者可以利用该漏洞绕过身份验证,上传恶意插件进行RCE利用。

1.5  修复建议

>> 1.5.1  版本升级

厂商已发布了漏洞修复程序,请使用此产品的用户尽快更新至安全版本:

Openfire 4.6.8

Openfire 4.7.5 

官方下载链接:

https://www.igniterealtime.org/