遠端主機執行的 Openfire 版本受到驗證繞過弱點影響。Openfire 是獲取 Open Source Apache License 授權的 XMPP 伺服器。據發現，Openfire 的管理主控台 (一種 Web 型應用程式) 容易受到透過設定環境發動的路徑遊走攻擊。利用此弱點，未經驗證的使用者可以在已設定的 Openfire 環境中使用未經驗證的 Openfire 設定環境，以存取 Openfire 管理主控台中為管理使用者保留的受限頁面。此弱點會影響自 2015 年 4 月發布的 3.10.0 版本以來的所有 Openfire 版本。
此問題已在 Openfire 版本 4.7.5 和 4.6.8 中修補，進一步的改善將包含在 4.8 分支上尚未發布的第一個版本中 (預期版本為 4.8.0)。建議所有使用者進行升級。如果 Openfire 升級不適用於特定版本，或無法快速執行，使用者可參閱連結的 github 公告 (GHSA-gw42-f939-fhvm) 以取得減輕受害程度的建議。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Openfire 3.10 < 4.6.8/4.7 < 4.7.5 驗證繞過

high Nessus Plugin ID 177741

版本 1.5