Openfire — это сервер XMPP, лицензированный под лицензией Apache с открытым исходным кодом. Административная консоль Openfire, веб-приложение, была признана уязвимой к атаке по прохождению пути через среду настройки. Это позволило неаутентифицированному пользователю использовать неаутентифицированную среду настройки Openfire в уже настроенной среде Openfire, чтобы получить доступ к закрытым страницам в административной консоли Openfire, зарезервированным для административных пользователей. Эта уязвимость затрагивает все версии Openfire, выпущенные с апреля 2015 года, начиная с версии 3.10.0. Проблема была устранена в выпусках Openfire 4.7.5 и 4.6.8, а дальнейшие улучшения будут включены в ещё не выпущенную первую версию на ветке 4.8 (ожидается версия 4.8.0). Пользователям рекомендуется обновиться. Если обновление Openfire недоступно для конкретного релиза или не может быть выполнено быстро, пользователи могут ознакомиться со ссылкой на консультативный документ github (GHSA-gw42-f939-fhvm) для рекомендаций по смягчению.