在这个热修复补丁中,我们修复了许多 bug,并成功修补了最近发现的 CVE-2022-47412 漏洞。请阅读下文,了解详情。
v7.3.3 包括了什么改进
v7.3.3 包括所有编辑器、移动应用程序、ONLYOFFICE 文档后台和插件的大量修复。您可以在我们的 GitHub 上访问完整的更新日志。
最重要的是,CVE-2022-47412 在 v7.3.3 中已成功修复。研究人员最初认为该漏洞与 ONLYOFFICE 工作区代码相关联。实际上,该漏洞可通过 ONLYOFFICE 文档执行。
关于 CVE-2022-47412
CVE-2022-47412 是 CWE-79 的一个实例:网页生成期间的不正确输出中和(“跨站脚本”,'Cross-site Scripting'),最开始是 Rapid7 的研究员 Matthew Kienow 在 2023 年 2 月发现的。
一般来说,它是一个多重 DMS XSS 漏洞,让入侵者能够检索目标用户客户端的信息。入侵者会共享包含跨站点脚本 (XSS) 代码的恶意文档。当文档保存在文档管理系统中、用户在 ONLYOFFICE 文档的文档内容中执行搜索操作时,此操作会触发 XSS 在用户浏览器中执行。
漏洞的潜在影响包括,通过窃取用户的会话 cookie 或挂在浏览器上,代表受害者执行自定义命令,在组织的门户中冒充特权用户。
如要了解详细的场景,请参阅原始报告。
如何向 ONLYOFFICE 团队报告漏洞
如要向 ONLYOFFICE 安全团队提交漏洞,请通过 ONLYOFFICE HackerOne 程序 进行。为避免安全风险,您建议遵守我们的披露政策。
如果您希望获得错误悬赏计划的邀请,请联系我们,请写明您的昵称、关联的电子邮件,以及您发现问题的详细信息。