发布日期：2020-09-02
更新日期：2020-09-17

受影响系统：

Ignite Realtime Openfire 4.5.1

描述：

---

CVE(CAN) ID: CVE-2020-24601

Ignite Realtime Openfire是Ignite Realtime社区的一款采用Java开发且基于XMPP（前称Jabber，即时通讯协议）的跨平台开源实时协作（RTC）服务器，它能够构建高效率的即时通信服务器，并支持上万并发用户数量。
Ignite Realtime Openfire 4.5.1版本存在跨站脚本执行漏洞。攻击者可通过导入证书可信页面中存在漏洞的POST参数“searchName”、“alias”利用该漏洞执行任意恶意URL。

<*来源：Greg Thomas
  
  链接：*>

建议：

---

厂商补丁：

Ignite Realtime
---------------
Ignite Realtime已经为此发布了一个安全公告（CVE-2020-24601）以及相应补丁:
CVE-2020-24601：Cross Site Scripting (XSS) issues - CSW Document No: C1055 CVE-2020-24601 CVE-2020-24602 CVE-2020-24604
链接：https://issues.igniterealtime.org/browse/OF-1963

浏览次数：797
严重程度：0（网友投票）