四家文档管理系统中披露的未修补安全漏洞

四家供应商 LogicalDOC、Mayan、ONLYOFFICE 和 OpenKM 的开源和免费增值文档管理系统 (DMS) 产品中披露了多个未修补的安全漏洞。

佛山市东联科技有限公司网络安全研究人员表示，这八个漏洞提供了一种机制，“攻击者可以通过该机制说服人类操作员在平台上保存恶意文档，一旦文档被用户索引并触发，攻击者就会通过多种途径控制组织”。

东联科技研究员 发现的八个跨站点脚本 ( XSS ) 漏洞列表如下 -

CVE-2022-47412 - ONLYOFFICE 工作区搜索存储 XSS

CVE-2022-47413 和 CVE-2022-47414 - OpenKM 文档和应用程序 XSS

CVE-2022-47415、CVE-2022-47416、CVE-2022-47417 和 CVE-2022-47418 - LogicalDOC 多种存储 XSS

CVE-2022-47419 - Mayan EDMS 标签存储 XSS

存储型 XSS，也称为持久性 XSS，当恶意脚本直接注入易受攻击的 Web 应用程序（例如，通过评论字段）时，会导致流氓代码在每次访问该应用程序时被激活。

威胁行为者可以通过提供诱饵文件来利用上述缺陷，使入侵者能够进一步控制受感染的网络，

“一种典型的攻击模式是窃取本地登录管理员经过身份验证的会话 cookie，然后重用该会话 cookie 来模拟该用户以创建一个新的特权账户，”研究人员说。 .

在另一种情况下，攻击者可以滥用受害者的身份来注入任意命令并获得对存储文档的秘密访问权限。

这家网络安全公司指出，这些缺陷已于 2022 年 12 月 1 日报告给各自的供应商，尽管与 CERT 协调中心 (CERT/CC) 协调披露，但仍未修复。

建议受影响的 DMS 用户在从未知或不受信任的来源导入文档时要谨慎行事，并限制匿名、不受信任的用户的创建，并限制某些功能，如聊天和标记给已知用户。（欢迎转载分享）