风险提示｜Openfire控制台权限绕过漏洞（CVE-2023-32315）

漏洞详细信息：https://stack.chaitin.com/vuldb/detail?id=59842b58-21a6-48bc-bc80-8df8196c7886\r

\r

Openfire（以前称为Wildfire）是一个基于XMPP（可扩展消息和状态协议）的开源实时协作服务器，并且还提供Web管理界面。 \r

近日，长亭科技监测到Openfire发布新版本修复漏洞。经过漏洞分析，长汀应急团队发现该漏洞类型为后台权限绕过，可利用该漏洞实现RCE。公网中仍有不少相关系统尚未修复漏洞。根据该漏洞原理，应急团队编写了X-POC远程检测工具和牧云本地检测工具。这些工具目前向公众开放下载和使用。 \r

## 漏洞描述\r

Openfire 的管理控制台是一个基于Web 的应用程序，被发现使用路径遍历来绕过权限检查。成功利用该漏洞可能会允许未经身份验证的用户访问Openfire 管理控制台中的后端页面。同时，由于Openfire管理控制台后端提供了安装插件的功能，攻击者可以通过安装恶意插件来实现远程代码执行。 \r

## 检测工具\r

### X-POC远程检测工具\r

####检测方法\r

````\r

xpoc -r 103 -t 10.0.0.1/24 -p 80,443,8080,8000\r

````\r