Prosody
Уязвимости
15
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.04399
Распределение по критичности
Критический
0
Высокий
10
Средний
4
Низкий
0
Также сопоставлено как (исходные строки): prosody
Топ уязвимостей
CVE-2018-10847prosody до версий 0.10.2, 0.9.14 уязвим для обхода аутентификации. Prosody не проверял, оставался ли виртуальный хост, связанный с пользовательским сеансом, тем же самым при перезапусках потока. Пользователь может пройти аутентификацию на XMPP-хосте A и перенести свой аутентифицированный сеанс на XMPP-хост B того же экземпляра Prosody.
CVE-2014-2745Prosody до версии 0.9.4 неправильно ограничивает обработку сжатых XML-элементов, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ресурсов) через специально созданный XMPP-поток, также известный как атака "xmppbomb", связанный с core/portmanager.lua и util/xmppstream.lua.
CVE-2014-2744plugins/mod_compression.lua в (1) Prosody до версии 0.9.4 и (2) Lightwitch Metronome до версии 3.4 согласовывает сжатие потока, пока сессия не аутентифицирована, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ресурсов) через сжатые XML-элементы в XMPP-потоке, также известный как атака "xmppbomb".
CVE-2022-0217Было обнаружено, что внутренняя библиотека Prosody для загрузки XML на основе libexpat неправильно ограничивает функции XML, разрешенные в проанализированных данных XML. При наличии подходящих входных данных злоумышленника это приводит к расширению рекурсивных ссылок на сущности из DTD (CWE-776). Кроме того, в зависимости от используемой версии libexpat, это также может позволить внедрение с использованием XML External Entity References (CWE-611).
CVE-2021-37601muc.lib.lua в Prosody 0.11.0 - 0.11.9 позволяет удаленным злоумышленникам получать конфиденциальную информацию (список администраторов, участников, владельцев и забаненных сущностей комнаты многопользовательского чата) в некоторых распространенных конфигурациях.
CVE-2021-32920Prosody до версии 0.11.9 допускает неконтролируемое потребление ЦП из-за потока запросов на пересогласование SSL/TLS.
CVE-2021-32919В Prosody до версии 0.11.9 обнаружена проблема. Недокументированная опция dialback_without_dialback в mod_dialback включает экспериментальную функцию для аутентификации между серверами. Она неправильно аутентифицирует сертификаты удаленного сервера, позволяя удаленному серверу выдавать себя за другой сервер (когда эта опция включена).
CVE-2021-32918В Prosody до версии 0.11.9 обнаружена проблема. Настройки по умолчанию подвержены удаленным неаутентифицированным атакам типа «отказ в обслуживании» (DoS) из-за исчерпания памяти при работе под управлением Lua 5.2 или Lua 5.3.
CVE-2017-18265Prosody до версии 0.10.0 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой приложения), связанный с несовместимостью с определенными версиями библиотеки LuaSocket, такими как пакет lua-socket из Debian stretch. Злоумышленнику необходимо вызвать ошибку потока. Сбой можно наблюдать, например, в модуле c2s.
CVE-2016-1232Модуль mod_dialback в Prosody до версии 0.9.9 неправильно генерирует случайные значения для секретного токена для серверной аутентификации dialback, что облегчает злоумышленникам подделку серверов с помощью атаки методом грубой силы.
CVE-2021-32921В Prosody до версии 0.11.9 обнаружена проблема. Он не использует алгоритм постоянного времени для сравнения определенных секретных строк при работе под управлением Lua 5.2 или более поздней версии. Это потенциально может быть использовано в атаке по времени для раскрытия содержимого секретных строк злоумышленнику.
CVE-2016-1231Уязвимость обхода каталогов в модуле обслуживания HTTP-файлов (mod_http_files) в Prosody 0.9.x до версии 0.9.9 позволяет удаленным злоумышленникам читать произвольные файлы через .. (две точки) в неуказанном пути.
CVE-2021-32917В Prosody до версии 0.11.9 обнаружена проблема. Компонент proxy65 по умолчанию предоставляет открытый доступ, даже если ни у одного из пользователей нет учетной записи XMPP на локальном сервере, что позволяет неограниченно использовать пропускную способность сервера.
CVE-2016-0756Функция generate_dialback в модуле mod_dialback в Prosody до версии 0.9.10 неправильно разделяет поля при создании ключей dialback, что позволяет удаленным злоумышленникам подделывать домены сети XMPP через специально созданный идентификатор потока и имя домена, которое включено в целевой домен в качестве суффикса.
CVE-2014-2750ОТВЕТАЯ причина: НЕ ИМЕТЬ ЭТУ НОМЕР КАНДИДАТА. Консультации: CVE-2014-2744, CVE-2014-2745. Причина: Этот кандидат является дубликат CVE-2014-2744 и/или CVE-2014-2745. Примечания: Все пользователи CVE должны ссылаться на CVE-2014-2744 и/или CVE-2014-2745 вместо этого кандидата. Все ссылки и описания в этом кандидате были удалены для предотвращения случайного использования