CVE-2025-59154

Nome do Software Vulnerável e Versões Afetadas Versões do Openfire anteriores à 5.0.2 Versão 5.1.0 do Openfire

Descrição O mecanismo SASL EXTERNAL do Openfire para autenticação TLS do cliente contém uma falha na forma como extrai identidades de usuário de certificados X.509. O código usa X509Certificate.getSubjectDN().getName() e uma expressão regular para identificar o Common Name (CN), o que não escapa corretamente caracteres especiais. Isso permite que um certificado malicioso incorpore CN= dentro do valor de outro atributo, fazendo com que a regex extraia incorretamente uma identidade diferente. Se o SASL EXTERNAL estiver habilitado e configurado para mapear CNs para contas de usuário, isso permite que um atacante se passe por outro usuário. O risco principal existe em ambientes de CA privada e autenticação de certificado de cliente, onde o mapeamento de identidade depende exclusivamente do CN.

Recomendações Versões do Openfire anteriores à 5.0.2: Atualize para a versão 5.0.2 ou posterior. Versão 5.1.0 do Openfire: Atualize para a versão 5.1.0 ou posterior. Como solução temporária, configure o Openfire para usar apenas o mapeador Subject Alternative Name (SAN): org.jivesoftware.util.cert.SANCertificateIdentityMapping. Alternativamente, desative a autenticação baseada em certificado para conexões entre servidores ou a autenticação mútua para conexões cliente-servidor.