Openfire < 3.6.4 jabber: iq: auth 特製 password_change 要求密碼操控

medium Nessus Plugin ID 38688

語系：

概要

遠端主機上有一個應用程式受到遠端密碼變更弱點影響。

描述

遠端主機正在執行 Openfire/Wildfire，這是一個支援 XMPP 通訊協定的即時訊息伺服器。

根據其版本，Openfire 或 Wildfire 的安裝在變更帳戶密碼以回應「iq: auth」要求前，無法驗證該帳戶的所有者。經驗證的攻擊者可惡意利用此弱點，變更任意 Openfire/Wildfire 使用者帳戶的密碼。

解決方案

升級至 Openfire 3.6.4 版或更新版本。

另請參閱

http://www.igniterealtime.org/community/message/190280

https://issues.igniterealtime.org/browse/JM-1531

Plugin 詳細資訊

嚴重性: Medium

ID: 38688

檔案名稱: openfire_3_6_4.nasl

版本: 1.14

類型: remote

系列: CGI abuses

發布日期: 2009/5/5

更新日期: 2021/1/19

組態: 啟用 Paranoid 模式

風險資訊

VPR

風險因素: Medium

分數: 5.5

CVSS v2

風險因素: Medium

基本分數: 6.5

時間分數: 5.1

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

時間媒介: CVSS2#E:POC/RL:OF/RC:C

弱點資訊

CPE: cpe:/a:igniterealtime:openfire

必要的 KB 項目: Settings/ParanoidReport

可輕鬆利用: No exploit is required

參考資訊

CVE: CVE-2009-1595

BID: 34804

CWE: 287

Secunia: 34976