关键漏洞信息 漏洞概述 漏洞名称: Potential identity spoofing via unsafe CN parsing CVE ID: CVE-2021-59134 CVSS v3 基本指标: - 严重性: 中等 (5.9/10) - 攻击向量: 网络 - 攻击复杂度: 高 - 所需权限: 高 - 用户交互: 无 - 范围: 不变 - 机密性影响: 高 - 完整性影响: 高 - 可用性影响: 无 影响范围 受影响版本: < 5.0.2 修复版本: 5.0.2, 5.1.0 漏洞描述 Openfire 的 SASL EXTERNAL 机制在处理 X.509 证书时存在漏洞,导致内部攻击者可以通过证书主体属性冒充其他用户。由于正则表达式提取未转义的提供者依赖 DN 字符串中的通用名(CN),恶意证书可以嵌入 OIDs 或其他属性值,从而被错误解释为合法的通用名。 影响 当没有显式配置覆盖时,Openfire 默认使用证书属性进行身份验证。 使用 CN 进行身份映射已被 CA/Browser 论坛的 CAB 论坛合规 CA 逐步淘汰,因此公共 CA 发布的证书不太可能被利用,但旧证书仍可能被滥用。 修复措施 替换 的使用,采用标准兼容的 LDAP 样式的 RFC2253 表示形式 。 修复包含在 Openfire 5.0.2 和 5.1.0 版本中,用户应尽快升级。 缓解措施 使用完整的绕过方法(替换 JAR 文件)或较弱的绕过方法(仅使用 SAN 映射或禁用基于证书的身份验证)。