Openfire 3.10.2 CSRF漏洞(CVE-2015-6973)
Openfire 3.10.2 CSRF漏洞(CVE-2015-6973)
Openfire 3.10.2 CSRF漏洞(CVE-2015-6973)
发布日期:2015-09-15
更新日期:2015-09-17
受影响系统:
Openfiler Openfiler 3.10.2
描述:
CVE(CAN) ID: CVE-2015-6973
Openfire是Open Source Apache License授权许可的实时协作服务器。
Ignite Realtime Openfire 3.10.2在实现上存在多个跨站请求伪造漏洞,远程攻击者利用此漏洞可劫持管理员的身份验证请求,然后通过向user-password.jsp发送构造的请求更新密码,向user-create.jsp发送构造的请求添加用户,向server-props.jsp发送构造的请求编辑服务器设置或禁用服务器的SSL,向plugins/clientcontrol/permitted-clients.jsp发送构造的请求,添加客户端。
<*来源:hyp3rlinx
链接:http://www.securityfocus.com/archive/1/archive/1/536470/100/0/threaded
*>
建议:
厂商补丁:
Openfiler
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.openfiler.com/
--------------------------------------分割线 --------------------------------------
CentOS下Openfire详细安装过程
CentOS 5.4下基于Jabber/XMPP协议的Openfire服务器配置笔记
Ubuntu 12.04 安装Openfire
Openfire在使用MySQL数据库后的中文乱码问题解决
通过Nginx实现Openfire集群的负载均衡
--------------------------------------分割线 --------------------------------------
本文永久更新链接地址:
评论暂时关闭