漏洞标题
N/A
漏洞描述信息
"在(1)Prosody 0.9.4 之前以及(2)LightwitchMetronome 3.4 之后,插件/mod_compression.lua 会协商流压缩,当会话未验证时,这允许远程攻击者通过在 XMPP 流中的压缩 XML 元素来导致拒绝服务(资源消耗),也被称为“xmpp bomb”攻击。"
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
plugins/mod_compression.lua in (1) Prosody before 0.9.4 and (2) Lightwitch Metronome through 3.4 negotiates stream compression while a session is unauthenticated, which allows remote attackers to cause a denial of service (resource consumption) via compressed XML elements in an XMPP stream, aka an "xmppbomb" attack.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Prosody和Lightwitch Metronome 输入验证漏洞
漏洞描述信息
Prosody和Lightwitch Metronome都是通信服务器软件。Prosody是一套使用Lua语言编写的Jabber/XMPP通信服务器软件。Lightwitch Metronome是Lightwitch组织的一套基于LW.Org IM(LW.Org 消息服务)的XMPP服务器软件。 Prosody 0.9.3及之前的版本和Lightwitch Metronome 3.4及之前版本的plugins/mod_compression.lua文件存在安全漏洞,该漏洞源于当协商流压缩时,会话没有授权。
CVSS信息
N/A
漏洞类别
授权问题