Sistemas Afectados

• Openfire desde 3.10.0 a 3.10.3
• Openfire desde 4.0.0 hasta 4.7.4 (excluyendo 4.6.8 – 4.7.5 – 4.8.0)

Descripción

Recientemente se hizo pública una vulnerabilidad en Openfire XMPP la cual permite a un atacante no autenticado ejecutar un ataque transversal, utilizando codificaciones de URL no estándar para caracteres UTF-16 a tráves del entorno de configuración basado en web de Openfire.

Referencia

• Ignite Github Security Advisories
• CVE-2023-32315

Solución

Se recomienda aplicar las actualizaciones emitidas por Ignite realtime para Openfire, actualizando a las versiones:

• Openfire 4.6.8
• Openfire 4.7.5
• Openfire 4.8.0