3.10.0 <= Openfire < 4.6.8 4.7.0 <= Openfire < 4.7.5 版本被发现容易受到通过设置环境进行的路径遍历攻击。这允许未经身份验证的用户在已配置的 Openfire 环境中使用未经身份验证的 Openfire 设置环境来访问为管理用户保留的 Openfire 管理控制台中的受限页面。

该问题已在 Openfire 版本 4.7.5 和 4.6.8 中得到修补，进一步的改进将包含在尚未发布的 4.8 分支的第一个版本中（预计为 4.8.0 版）。 官方补丁下载地址： https://www.igniterealtime.org/downloads/#openfire