ONLYOFFICE Docs 7.3.3 mit wichtigen Fehlerbehebungen

16 März 2023By Vlad

In diesem Hotfix haben wir zahlreiche Fehler beseitigt und die kürzlich entdeckte Sicherheitslücke CVE-2022-47412 erfolgreich behoben. Lesen Sie weiter für mehr Informationen.

CVE-2022-47412 fixed in ONLYOFFICE

Was wurde in Version 7.3.3 verbessert?

Version 7.3.3 enthält zahlreiche Bugfixes in allen Editoren, mobilen Apps, im Backend von ONLYOFFICE Docs und in Plugins. Sie können das vollständige Änderungsprotokoll auf unserem GitHub abrufen.

Am wichtigsten ist, dass die Sicherheitslücke CVE-2022-47412 erfolgreich behoben wurde. Die Forscher brachten die Sicherheitslücke zunächst mit dem Code von ONLYOFFICE Workspace in Verbindung. Tatsächlich war sie über ONLYOFFICE Docs ausführbar.

Über CVE-2022-47412

CVE-2022-47412, eine Instanz von CWE-79: Unzulässige Neutralisierung von Eingaben während der Generierung von Webseiten (“Cross-Site Scripting”), wurde ursprünglich von Rapid7-Forscher Matthew Kienow im Februar 2023 entdeckt.

Im Allgemeinen handelt es sich um eine Multiple DMS XSS-Schwachstelle, die es dem Angreifer ermöglicht, Informationen über den Client des Zielbenutzers abzurufen. Der Angreifer gibt ein bösartiges Dokument weiter, das einen Cross-Site-Scripting-Code (XSS) enthält. Wenn das Dokument in einem Dokumentenmanagementsystem gespeichert wird und der Benutzer eine Suchaktion innerhalb des Dokumenteninhalts in ONLYOFFICE Docs durchführt, löst die Aktion die Ausführung des XSS im Browser des Benutzers aus.

Mögliche Auswirkungen sind die Übernahme der Identität eines privilegierten Benutzers innerhalb des Unternehmensportals durch Diebstahl des Sitzungs-Cookies des Benutzers oder die Ausführung benutzerdefinierter Befehle im Namen des Opfers durch Einschleusen in dessen Browser.

Das detaillierte Szenario ist im Originalbericht beschrieben.

Wie Sie dem ONLYOFFICE-Team Schwachstellen melden

Die Übermittlung der Schwachstellen an das ONLYOFFICE-Sicherheitsteam erfolgt über das ONLYOFFICE HackerOne-Programm. Um Sicherheitsrisiken zu vermeiden, empfehlen wir, unsere Offenlegungsrichtlinie zu befolgen.

Wenn Sie sich für eine Einladung zum Bug Bounty Programm bewerben möchten, kontaktieren Sie uns unter security@onlyoffice.com und geben Sie Ihren Nickname, die zugehörige E-Mail und die Details zu Ihren Funden an.

Nützliche Links

ONLYOFFICE Docs 7.3.3 auf GitHub

Die neueste Version von ONLYOFFICE Docs herunterladen

Über ONLYOFFICE HackerOne-Programm

Sicherheit in ONLYOFFICE-Lösungen

Benutzen Sie ONLYOFFICE kostenlos