漏洞信息详情

Igniterealtime Openfire管理终端跨站脚本攻击漏洞

• CNNVD编号：CNNVD-200903-366
• 危害等级： 中危
  
• CVE编号： CVE-2008-6510
• 漏洞类型： 跨站脚本
• 发布时间： 2008-11-07
• 威胁类型： 远程
• 更新时间： 2009-03-25
• 厂        商： igniterealtime
• 漏洞来源： Andreas Kurtz

漏洞简介

Openfire（前称Wildfire）是IgniteRealtime社区的一款采用Java开发且基于XMPP（前称Jabber，即时通讯协议）的跨平台开源实时协作（RTC）服务器，它能够构建高效率的即时通信服务器，并支持上万并发用户数量。

Openfire服务器中的多个安全漏洞可能允许攻击者在操作系统上执行任意代码，具体取决于特定的运行时环境。

login.jsp的url参数和username参数存在跨站脚本漏洞，攻击者可以操控这些参数指定认证后用户将被转发到的目的地。

漏洞公告

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.igniterealtime.org/downloads/index.jsp#openfire

参考网址

来源: XF

名称: openfire-url-xss(46486)

链接: http://xforce.iss.net/xforce/xfdb/46486

来源: VUPEN

名称: ADV-2008-3061

链接: http://www.vupen.com/english/advisories/2008/3061

来源: BID

名称: 32189

链接: http://www.securityfocus.com/bid/32189

来源: BUGTRAQ

名称: 20081108 [AK-ADV2008-001] Openfire Jabber-Server: Multiple Vulnerabilities (Authentication Bypass, SQL injection, ...)

链接: http://www.securityfocus.com/archive/1/archive/1/498162/100/0/threaded

来源: MILW0RM

名称: 7075

链接: http://www.milw0rm.com/exploits/7075

来源: www.igniterealtime.org

链接: http://www.igniterealtime.org/issues/browse/JM-629

来源: MISC

链接: http://www.andreas-kurtz.de/advisories/AKADV2008-001-v1.0.txt

受影响实体

• Igniterealtime Openfire:3.6.0  
• Igniterealtime Openfire:3.5.0  
• Igniterealtime Openfire:3.4.5  
• Igniterealtime Openfire:3.4.4  
• Igniterealtime Openfire:3.4.1  

补丁

暂无