| Title | Ignite Realtime Openfire の admin コンソールにおける任意のコードを実行される脆弱性 |
|---|---|
| Summary | Ignite Realtime Openfire (前 Wildfire) の admin コンソールは、web.xml 内のフィルタマッピングを適切に指定しないため、権限を取得される、および任意のコードを実行される脆弱性が存在します。 |
| Possible impacts | 第三者により、DWR 経由で保護されていない機能へアクセスされることで、権限を取得される、および任意のコードを実行される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 3, 2007, midnight |
| Registration Date | Sept. 25, 2012, 4:47 p.m. |
| Last Update | Sept. 25, 2012, 4:47 p.m. |
| CVSS2.0 : 危険 | |
| Score | 7.5 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:P/I:P/A:P |
| Ignite Realtime |
| Openfire 3.3.0 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年09月25日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The admin console in Ignite Realtime Openfire 3.3.0 and earlier (formerly Wildfire) does not properly specify a filter mapping in web.xml, which allows remote attackers to gain privileges and execute arbitrary code by accessing functionality that is exposed through DWR, as demonstrated using the downloader. |
|---|---|
| Summary | La consola de administración de Ignite Realtime Openfire versiones 3.3.0 y anteriores (anteriormente Wildfire), no especifica apropiadamente una asignación de filtros en el archivo web.xml, lo que permite a atacantes remotos alcanzar privilegios y ejecutar código arbitrario mediante el acceso a la funcionalidad que se expone por medio de DWR, como es demostrado usando el descargador. |
| Publication Date | June 1, 2007, 10:30 a.m. |
| Registration Date | Jan. 29, 2021, 2:13 p.m. |
| Last Update | April 23, 2026, 9:35 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:ignite_realtime:openfire:*:*:*:*:*:*:*:* | 3.3.0 | ||||
| cpe:2.3:a:ignite_realtime:openfire:2.6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ignite_realtime:openfire:2.6.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ignite_realtime:openfire:2.6.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ignite_realtime:openfire:3.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ignite_realtime:openfire:3.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ignite_realtime:openfire:3.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ignite_realtime:openfire:3.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ignite_realtime:openfire:3.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ignite_realtime:openfire:3.2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ignite_realtime:openfire:3.2.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ignite_realtime:openfire:3.2.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ignite_realtime:openfire:3.2.4:*:*:*:*:*:*:* | |||||