攻击漏洞描述
这表明攻击企图利用 Ignite Realtime Openfire 中的服务器端请求伪造漏洞。该漏洞是由于对精心制作的 HTTP 用户输入的不当清理造成的。未经身份验证的远程攻击者可以通过向目标易受攻击的服务器发送 HTTP 请求来利用此漏洞。成功利用会导致信息泄露,这些信息可用于促进进一步的妥协。
影响范围
Ignite Realtime Openfire version 4.4.2 and prior
可能带来的后果
身份验证绕过:远程攻击者可以绕过易受攻击系统的安全检查来发出 HTTP 请求。
解决办法
应用供应商提供的最新升级或补丁。 https://github.com/igniterealtime/Openfire/pull/1497
