Esta revisión elimina numerosos errores y corrige la vulnerabilidad CVE-20222-47412 recientemente descubierta. Sigue leyendo para obtener más información.

<p>Esta revisión elimina numerosos errores y corrige la vulnerabilidad CVE-2022-47412 recientemente descubierta. Sigue leyendo para obtener más información.</p>
<p><img decoding="async" loading="lazy" src="https://static-blog.onlyoffice.com/wp-content/uploads/2023/03/CVE-vulnerability-fixed-ONLYOFFICE.png" alt="ONLYOFFICE Docs v7.3.3 con correcciones importantes ya está disponible" width="1472" height="742" class="aligncenter size-full wp-image-55654 img-popup" srcset="https://static-blog.onlyoffice.com/wp-content/uploads/2023/03/CVE-vulnerability-fixed-ONLYOFFICE.png 1472w, https://static-blog.onlyoffice.com/wp-content/uploads/2023/03/CVE-vulnerability-fixed-ONLYOFFICE-300x151.png 300w, https://static-blog.onlyoffice.com/wp-content/uploads/2023/03/CVE-vulnerability-fixed-ONLYOFFICE-1024x516.png 1024w, https://static-blog.onlyoffice.com/wp-content/uploads/2023/03/CVE-vulnerability-fixed-ONLYOFFICE-768x387.png 768w, https://static-blog.onlyoffice.com/wp-content/uploads/2023/03/CVE-vulnerability-fixed-ONLYOFFICE-634x320.png 634w, https://static-blog.onlyoffice.com/wp-content/uploads/2023/03/CVE-vulnerability-fixed-ONLYOFFICE-353x178.png 353w" sizes="(max-width: 1472px) 100vw, 1472px" /></p>
<h2>Mejoras en la versión 7.3.3</h2>
<p>La versión 7.3.3 incluye numerosas correcciones en todos los editores, aplicaciones móviles, backend de ONLYOFFICE Docs y plugins. Puedes acceder al changelog completo en nuestra <a href="https://github.com/ONLYOFFICE/DocumentServer/blob/master/CHANGELOG.md#733" rel="noopener" target="_blank">página de GitHub</a>.</p>
<p>Lo más importante es que se ha corregido la vulnerabilidad CVE-2022-47412. Los investigadores asociaron inicialmente la vulnerabilidad con el código de ONLYOFFICE Workspace. De hecho, era ejecutable a través de ONLYOFFICE Docs.</p>
<h2>Más información sobre CVE-2022-47412</h2>
<p><a href="https://www.rapid7.com/blog/post/2023/02/07/multiple-dms-xss-cve-2022-47412-through-cve-20222-47419/" rel="noopener" target="_blank">CVE-2022-47412</a>, una instancia de CWE-79: Improper Neutralization of Input During Web Page Generation (&#8216;Cross-site Scripting&#8217;), fue descubierta inicialmente por Matthew Kienow, investigador de <a href="https://www.rapid7.com" rel="noopener" target="_blank">Rapid7</a>, en febrero de 2023.</p>
<p>En términos generales, se trata de una vulnerabilidad DMS XSS múltiple que permite al intruso recuperar información sobre el cliente del usuario objetivo. El intruso comparte un documento malicioso que contiene un código de cross-site scripting (XSS). Cuando el documento se guarda dentro de un sistema de gestión documental y el usuario realiza una acción de búsqueda dentro del contenido del documento en ONLYOFFICE Docs, la acción desencadena la ejecución del XSS en el navegador del usuario.</p>
<p>El posible impacto puede ser la suplantación de un usuario privilegiado dentro del portal de la organización mediante el robo de la cookie de sesión del usuario o la ejecución de comandos personalizados en nombre de la víctima engañando a su navegador.</p>
<p>El escenario detallado se describe en <a href="https://www.rapid7.com/blog/post/2023/02/07/multiple-dms-xss-cve-2022-47412-through-cve-20222-47419/" rel="noopener" target="_blank">el informe original</a>.</p>
<h2>Cómo informar al equipo de ONLYOFFICE sobre vulnerabilidades</h2>
<p>Es posible informar al equipo de seguridad de ONLYOFFICE sobre las vulnerabilidades encontradas a través del <a href="/blog/?p=19081&#038;utm_source=blog&#038;utm_medium=article&#038;utm_campaign=cve-2022-47412" rel="noopener" target="_blank">programa de ONLYOFFICE en HackerOne</a>. Para evitar los riesgos de seguridad, recomendamos seguir nuestra Política de divulgación.</p>
<p>Si quieres solicitar una invitación al programa de recompensas, ponte en contacto con nosotros a través de <a href="mailto:security@onlyoffice.com" rel="noopener" target="_blank">security@onlyoffice.com</a> y especifica tu alias, correo electrónico asociado y los detalles sobre tus descubrimientos.</p>
<div class="useful-links">
<h3>Enlaces útiles</h3>
<p><a href="https://github.com/ONLYOFFICE/DocumentServer/blob/master/CHANGELOG.md#733" rel="noopener" target="_blank">ONLYOFFICE Docs v7.3.3 en GitHub</a></p>
<p><a href="https://www.onlyoffice.com/es/download-docs.aspx/?utm_source=blog&#038;utm_medium=article&#038;utm_campaign=cve-2022-47412" rel="noopener" target="_blank">Descargar la última versión de ONLYOFFICE Docs</a></p>
<p><a href="/blog/?p=19081&#038;utm_source=blog&#038;utm_medium=article&#038;utm_campaign=cve-2022-47412" rel="noopener" target="_blank">Más información sobre el programa de ONLYOFFICE en HackerOne</a></p>
<p><a href="https://www.onlyoffice.com/es/security.aspx/?utm_source=blog&#038;utm_medium=article&#038;utm_campaign=cve-2022-47412" rel="noopener" target="_blank">Seguridad en las soluciones de ONLYOFFICE</a></div>


ONLYOFFICE Docs v7.3.3 con correcciones importantes ya está disponible

Entradas recientes

Cómo Dhorde, revendedor de ONLYOFFICE, ofrece a sus clientes una mejor solución de colaboración documental

10 planificadores digitales para todos los gustos en 2023

Las 7 mejores herramientas para compartir archivos de forma segura