Mais de 3.000 servidores Openfire não foram corrigidos contra uma vulnerabilidade recente e permanecem expostos a ataques direcionados.

Mantido pela Ignite Realtime, o Openfire é um servidor de colaboração em tempo real multiplataforma escrito em Java que usa o protocolo XMPP e que suporta administração através de uma interface web.

Rastreada como CVE-2023-32315, a falha de alta gravidade foi descoberta no console de administração do Openfire e é descrita como um bug de travessia de caminho por meio do ambiente de configuração que permite que invasores não autenticados acessem páginas restritas no console de administração.

Todas as iterações do Openfire desde a versão 3.10.0, lançada em abril de 2015, até as versões 4.7.5 e 4.6.8, lançadas em maio de 2023 para corrigir a vulnerabilidade, estão afetadas.

A vulnerabilidade tem sido explorada em ataques maliciosos há mais de dois meses, com os agentes de ameaças sendo vistos criando novas contas de usuário do console de administração para instalar um novo plug-in contendo um shell Web remoto, permitindo que eles executem comandos arbitrários e acessem quaisquer dados no servidor.