Esta revisión elimina numerosos errores y corrige la vulnerabilidad CVE-2022-47412 recientemente descubierta. Sigue leyendo para obtener más información.
Mejoras en la versión 7.3.3
La versión 7.3.3 incluye numerosas correcciones en todos los editores, aplicaciones móviles, backend de ONLYOFFICE Docs y plugins. Puedes acceder al changelog completo en nuestra página de GitHub.
Lo más importante es que se ha corregido la vulnerabilidad CVE-2022-47412. Los investigadores asociaron inicialmente la vulnerabilidad con el código de ONLYOFFICE Workspace. De hecho, era ejecutable a través de ONLYOFFICE Docs.
Más información sobre CVE-2022-47412
CVE-2022-47412, una instancia de CWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’), fue descubierta inicialmente por Matthew Kienow, investigador de Rapid7, en febrero de 2023.
En términos generales, se trata de una vulnerabilidad DMS XSS múltiple que permite al intruso recuperar información sobre el cliente del usuario objetivo. El intruso comparte un documento malicioso que contiene un código de cross-site scripting (XSS). Cuando el documento se guarda dentro de un sistema de gestión documental y el usuario realiza una acción de búsqueda dentro del contenido del documento en ONLYOFFICE Docs, la acción desencadena la ejecución del XSS en el navegador del usuario.
El posible impacto puede ser la suplantación de un usuario privilegiado dentro del portal de la organización mediante el robo de la cookie de sesión del usuario o la ejecución de comandos personalizados en nombre de la víctima engañando a su navegador.
El escenario detallado se describe en el informe original.
Cómo informar al equipo de ONLYOFFICE sobre vulnerabilidades
Es posible informar al equipo de seguridad de ONLYOFFICE sobre las vulnerabilidades encontradas a través del programa de ONLYOFFICE en HackerOne. Para evitar los riesgos de seguridad, recomendamos seguir nuestra Política de divulgación.
Si quieres solicitar una invitación al programa de recompensas, ponte en contacto con nosotros a través de security@onlyoffice.com y especifica tu alias, correo electrónico asociado y los detalles sobre tus descubrimientos.
