漏洞标题
N/A
漏洞描述信息
在Prosody的mod_dialback模块在0.9.10之前版本中,生成 dialback 键时,未正确分离字段,这允许远程攻击者通过构造的目标域名作为后缀的 stream id 和域名来伪造 XMPP 网络域名。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The generate_dialback function in the mod_dialback module in Prosody before 0.9.10 does not properly separate fields when generating dialback keys, which allows remote attackers to spoof XMPP network domains via a crafted stream id and domain name that is included in the target domain as a suffix.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Prosody mod_dialback模块安全漏洞
漏洞描述信息
Prosody是一套使用Lua语言编写的Jabber/XMPP通信服务器软件。mod_dialback是其中的一个用于本地服务器之间通信的身份验证模块。 Prosody 0.9.10之前版本的mod_dialback模块中的‘generate_dialback’函数存在安全漏洞,该漏洞源于程序生成回拨密钥时没有正确区分字段。远程攻击者可借助以后缀形式包含在目标域中的特制的数据流ID和域名,利用该漏洞伪造XMPP网络域。
CVSS信息
N/A
漏洞类别
授权问题