【重大消息】ONLYOFFICE 文档 v7.3.3 已成功修复 bug
  PUvuOydIGKgJ 2023年11月02日 106 0

在这个热修复补丁中,我们修复了许多 bug,并成功修补了最近发现的 CVE-2022-47412 漏洞。请阅读下文,了解详情。

【重大消息】ONLYOFFICE 文档 v7.3.3 已成功修复 bug_漏洞

v7.3.3 包括了什么改进

v7.3.3 包括所有编辑器、移动应用程序、ONLYOFFICE 文档后台和插件的大量修复。您可以在我们的 GitHub ​上访问完整的更新日志。

最重要的是,CVE-2022-47412 在 v7.3.3 中已成功修复。研究人员最初认为该漏洞与 ONLYOFFICE 工作区代码相关联。实际上,该漏洞可通过 ONLYOFFICE 文档执行。

关于 CVE-2022-47412

CVE-2022-47412​​ 是 CWE-79 的一个实例:网页生成期间的不正确输出中和(“跨站脚本”,'Cross-site Scripting'),最开始是 ​​Rapid7​​ 的研究员 Matthew Kienow 在 2023 年 2 月发现的。

一般来说,它是一个多重 DMS XSS 漏洞,让入侵者能够检索目标用户客户端的信息。入侵者会共享包含跨站点脚本 (XSS) 代码的恶意文档。当文档保存在文档管理系统中、用户在 ONLYOFFICE 文档的文档内容中执行搜索操作时,此操作会触发 XSS 在用户浏览器中执行。

漏洞的潜在影响包括,通过窃取用户的会话 cookie 或挂在浏览器上,代表受害者执行自定义命令,在组织的门户中冒充特权用户。

如要了解详细的场景,请参阅​​原始报告​​。

如何向 ONLYOFFICE 团队报告漏洞

如要向 ONLYOFFICE 安全团队提交漏洞,请通过 ​​ONLYOFFICE HackerOne 程序​​ 进行。为避免安全风险,您建议遵守我们的披露政策。

如果您希望获得错误悬赏计划的邀请,请联系我们,请写明您的昵称、关联的电子邮件,以及您发现问题的详细信息。

相关链接

​GitHub 上的 ONLYOFFICE 文档 7.3.3​

【版权声明】本文内容来自摩杜云社区用户原创、第三方投稿、转载,内容版权归原作者所有。本网站的目的在于传递更多信息,不拥有版权,亦不承担相应法律责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@moduyun.com

  1. 分享:
最后一次编辑于 2023年11月08日 0

暂无评论

推荐阅读
PUvuOydIGKgJ