Openfire 身份认证绕过漏洞是一个严重的安全漏洞,允许攻击者绕过身份验证登录管理界面,甚至实现远程代码执行。漏洞详情如下:漏洞类型:身份认证绕过漏洞。受影响软件:Openfire,一个基于XMPP协议的免费开源即时通讯服务器。受影响版本:3.10.0及之后至4.6.8,以及4.7.0及之后至4.7.5。漏洞危害:攻...
奇安信CERT监测到了Openfire身份认证绕过漏洞(CVE-2023-32315)。此漏洞源于Openfire路径名限制不当,使未经身份认证的远程攻击者可通过构造恶意请求利用漏洞,进而绕过身份验证,登录管理界面。漏洞细节及POC已在互联网公开,威胁性进一步提升。建议天守客户进行自查及防护。Openfire是一款基于XMPP协议、Java语言...
漏洞概述 近日,绿盟科技 CERT 监测到 Openfire 控制台身份认证绕过漏洞(CVE-2023-32315). Openfire 的管理控制台(Admin Console)是一个基于 Web 的应用程序,它被发现容易受 到通过设置环境进行的路径遍历攻击,未经身份验证的攻击者在已配置的 Openfire 环境中使 用未经身份验证的 Openfire 设置环境来访问管理...
Openfire 是根据开放源 Apache 许可获得许可的实时协作(RTC)服务器,它使用唯一被广泛采用的用于即时消息的开放协议XMPP(也称为 Jabber)。 0x02 漏洞概述 漏洞编号:CVE-2023-32315 十多年前,Openfire 管理后台中曾被发现一处路径穿越漏洞,CVE-2008-6508。攻击者可以利用/setup/setup-/../../[page].jsp来绕过...
1、简介 Openfire是一个基于XMPP协议的即时通讯服务器,也称之为即时通讯平台。在即时通讯中往往因为需要保存一些状态或者数据所以不能采用点对点通讯,而是需要搭建服务器来转发。Openfire的管理页面包含5个菜单选项,分别是服务器基本信息配置选项、用户组管理选项、会话
漏洞分析:这个漏洞类似于CVE-2008-6508目录穿越漏洞,根源在于配置的Servlet过滤器(AuthCheckFilter)允许部分URL绕过鉴权。该过滤器在Java Web应用程序中执行身份验证检查,名称为"AuthCheck",类为"org.jivesoftware.admin.AuthCheckFilter"。配置中包含一个"excludes"初始化参数,用于指定需要排除的URL模式...
Openfire是一个基于XMPP协议的免费开源即时通讯服务器。该软件存在身份认证绕过漏洞。攻击者利用此漏洞可构造恶意请求绕过身份验证登录管理界面,甚至通过安装恶意插件实现远程代码执行。受影响版本包括3.10.0及之后至4.6.8,以及4.7.0及之后至4.7.5。漏洞利用步骤包括:访问特定URL验证漏洞存在,获取...
参考资料 https://igniterealtime.org/projects/openfire/ https://github.com/igniterealtime/Openfire/security/advisories/GHSA-gw42-f939-fhvm https://learningsomecti.medium.com/path-traversal-to-rce-openfire-cve-2023-32315-6a8bf0285fcc
git clone https://github.com/miko550/CVE-2023-32315.git cd CVE-2023-32315 pip3 install -r requirements.txt Usagepython3 CVE-2023-32315.py -t http://127.0.0.1:9090 python3 CVE-2023-32315.py -l lists.txt StepRun exploitlogin with newly added usergoto tab plugin > upload plugin open...
addedCVE-2023-32315 Jun 18, 2023 78caa82·Jun 18, 2023 History History 中文版本(Chinese version) Openfire is a real time collaboration (RTC) server licensed under the Open Source Apache License. It uses the only widely adopted open protocol for instant messaging, XMPP (also called Jabber)....