漏洞标题
N/A
漏洞描述信息
Openfire 3.6.0a 和更早版本中的 Admin 控制台中的 AuthCheck 过滤器的目录遍历漏洞允许远程攻击者绕过身份验证,通过匹配Exclude-Strings列表的..(点点)来访问管理员界面,例如 URI 中的 /setup/setup-/.. 序列。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Directory traversal vulnerability in the AuthCheck filter in the Admin Console in Openfire 3.6.0a and earlier allows remote attackers to bypass authentication and access the admin interface via a .. (dot dot) in a URI that matches the Exclude-Strings list, as demonstrated by a /setup/setup-/.. sequence in a URI.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Igniterealtime Openfire管理终端目录遍历漏洞
漏洞描述信息
Openfire(前称Wildfire)是IgniteRealtime社区的一款采用Java开发且基于XMPP(前称Jabber,即时通讯协议)的跨平台开源实时协作(RTC)服务器,它能够构建高效率的即时通信服务器,并支持上万并发用户数量。 在对openfire管理接口的认证中,Tomcat应用服务器中的过滤器org.jivesoftware.admin.AuthCheckFilter确保仅有通过认证的用户才可以访问管理接口,否则将会被重新定向到登录页面。Openfire中的一个错误可能导致无需管理用户凭
CVSS信息
N/A
漏洞类别
路径遍历