【重大消息】ONLYOFFICE 文档 v7.3.3 已成功修复 bug

在这个热修复补丁中,我们修复了许多 bug,并成功修补了最近发现的 CVE-2022-47412 漏洞。请阅读下文,了解详情。

【重大消息】ONLYOFFICE 文档 v7.3.3 已成功修复 bug_第1张图片

v7.3.3 包括了什么改进

v7.3.3 包括所有编辑器、移动应用程序、ONLYOFFICE 文档后台和插件的大量修复。您可以在我们的​​ GitHub ​​上访问完整的更新日志。

最重要的是,CVE-2022-47412 在 v7.3.3 中已成功修复。研究人员最初认为该漏洞与 ONLYOFFICE 工作区代码相关联。实际上,该漏洞可通过 ONLYOFFICE 文档执行。

关于 CVE-2022-47412

CVE-2022-47412 是 CWE-79 的一个实例:网页生成期间的不正确输出中和(“跨站脚本”,'Cross-site Scripting'),最开始是 Rapid7 的研究员 Matthew Kienow 在 2023 年 2 月发现的。

一般来说,它是一个多重 DMS XSS 漏洞,让入侵者能够检索目标用户客户端的信息。入侵者会共享包含跨站点脚本 (XSS) 代码的恶意文档。当文档保存在文档管理系统中、用户在 ONLYOFFICE 文档的文档内容中执行搜索操作时,此操作会触发 XSS 在用户浏览器中执行。

漏洞的潜在影响包括,通过窃取用户的会话 cookie 或挂在浏览器上,代表受害者执行自定义命令,在组织的门户中冒充特权用户。

如要了解详细的场景,请参阅原始报告。

如何向 ONLYOFFICE 团队报告漏洞

如要向 ONLYOFFICE 安全团队提交漏洞,请通过 ONLYOFFICE HackerOne 程序 进行。为避免安全风险,您建议遵守我们的披露政策。

如果您希望获得错误悬赏计划的邀请,请联系我们,请写明您的昵称、关联的电子邮件,以及您发现问题的详细信息。

相关链接

GitHub 上的 ONLYOFFICE 文档 7.3.3

你可能感兴趣的:(CVE-2022-47412,漏洞,onlyoffice,安全)