У меня есть сервер tuleap 8.10 с openfire 3.6.4. После запуска анализа уязвимостей у меня появляется следующее сообщение:
9090/ TCP
51143 - Консоль администратора Openfire login.jsp XSS
конспект
Веб-приложение на удаленном хосте имеет уязвимость межсайтового скриптинга.
Описание
Консоль администратора Openfire, запущенная на удаленном хосте, имеет уязвимость межсайтового скриптинга. Входные данные для параметра 'username' в 'login.jsp' не очищены должным образом.
Злоумышленник может воспользоваться этим, обманом заставив пользователя выполнить специально созданный запрос POST, что приведет к выполнению произвольного сценария в браузере пользователя.
Эта версия Openfire, вероятно, имеет другие уязвимости, хотя Nessus не проверял эти проблемы.
Решение
Обновитесь до Openfire 3.7.0 beta или новее.
Фактор риска
Средняя
Я видел в коммитах Tuleap, что в 2012 году было внесено изменение для использования openfire 3.6.4 вместо 3.7.1.
Вот мои вопросы:
- Можно ли установить openfire 3.7 или более позднюю версию с Tuleap? (совместимость с tuleap-plugin-openfire-3.6.4?)
- Почему 3.7.1 openfire был сброшен?
- Есть ли желание обновить версию openfire, используемую Tuleap для следующих выпусков?