Érintett rendszerek
Jive SoftwareOpenfire
Érintett verziók
Jive Software Openfire 2.2.x (Wildfire), 3.3.x
Összefoglaló
Az Openfire egy sérülékenységét jelentették, amit kihasználva támadók föltörhetik a sebezhető rendszert.
Leírás
Az Openfire egy sérülékenységét jelentették, amit kihasználva támadók föltörhetik a sebezhető rendszert.
A sebezhetőséget a hiányzó szűrés okozza az src/web/WEB-INF/web.xml-ben, ami lehetővé teszi, hogy jogosulatlanul hozzáférjenek a pluginek föltöltésére használt Java beanshez. Ezt kihasználva tetszőleges kód futtatható az adminisztrációs konzolon keresztül föltöltött (alapértelmezett port: 9090) kártékony pluginek segítségével.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.igniterealtime.org
Egyéb referencia: www.igniterealtime.org
SECUNIA 25427
CVE-2007-2975 - NVD CVE-2007-2975