漏洞描述
Ignite Realtime Openfire是Ignite Realtime社区的一款采用Java开发且基于XMPP(前称Jabber,即时通讯协议)的跨平台开源实时协作(RTC)服务器,它能够构建高效率的即时通信服务器,并支持上万并发用户数量。 Ignite Realtime Openfire 4.4.1版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
Openfire /setup-datasource-standard.jsp 路径存在跨站脚本漏洞
PoC代码
暂无相关漏洞推荐
- CVE-2019-18394: Openfire Full Read SSRF
- POC CVE-2019-18393: Ignite Realtime Openfire <4.42 - Local File Inclusion
- POC CVE-2019-18394: Ignite Realtime Openfire <=4.4.2 - Server-Side Request Forgery
- POC CVE-2023-32315: Openfire Administration Console - Authentication Bypass
- POC CVE-2023-32315-2: Openfire身份认证绕过漏洞
- POC CVE-2023-32315: Openfire Console authentication bypass
- POC openfire-default-password: OpenFire 默认账号密码
- POC openfire-setup: Openfire Setup - Exposure
- Ignite Realtime Openfire <=4.4.2存在服务端请求伪造漏洞(CVE-2019-18394)
- Openfire CVE-2019-18394 未授权服务器端请求伪造漏洞
- Openfire CVE-2023-32315权限绕过漏洞
- Openfire Console 存在弱口令
- Openfire Console 存在鉴权绕过漏洞