ONLYOFFICE Docs 7.3.3 avec d’importants correctifs est disponible

16 mars 2023By Dasha

Dans cette mise à jour, nous avons éliminé de nombreux bogues et corrigé avec succès la vulnérabilité CVE-2022-47412 récemment découverte. Lisez la suite pour plus de détails.
CVE-2022-47412 fixed in ONLYOFFICE

Améliorations apportées à la version 7.3.3

La version 7.3.3 inclut de nombreuses corrections dans tous les éditeurs, les applications mobiles, le backend de ONLYOFFICE Docs, et les plugins. Vous pouvez accéder au changelog complet sur notre GitHub.

Plus important encore, la vulnérabilité CVE-2022-47412 a été corrigée avec succès. Les chercheurs ont d’abord associé la vulnérabilité au code d’ONLYOFFICE Workspace. En fait, elle était exécutable via ONLYOFFICE Docs.

À propos de CVE-2022-47412

CVE-2022-47412, un cas de CWE-79 : neutralisation incorrecte des entrées lors de la génération de pages Web (“Cross-site Scripting”), a été initialement découvert par le chercheur de Rapid7 Matthew Kienow en février 2023.

D’une manière générale, il s’agit d’une vulnérabilité XSS de Multiple DMS qui permet à l’intrus de récupérer des informations sur le client de l’utilisateur ciblé. L’intrus partage un document malveillant qui contient un code XSS (cross-site scripting). Lorsque le document est sauvegardé dans un système de gestion de documents et que l’utilisateur effectue une recherche dans le contenu du document dans ONLYOFFICE Docs, l’action déclenche l’exécution du XSS dans le navigateur de l’utilisateur.

Les conséquences possibles peuvent être l’usurpation de l’identité d’un utilisateur privilégié dans le portail de l’organisation en volant le cookie de session de l’utilisateur ou en exécutant des commandes personnalisées pour le compte de la victime en accrochant son navigateur.

Le scénario détaillé est décrit dans le rapport original.

Comment signaler des vulnérabilités à l’équipe ONLYOFFICE

La soumission des vulnérabilités à l’équipe d’ONLYOFFICE se fait par le biais du programme HackerOne d’ONLYOFFICE. Pour éviter les risques de sécurité, nous recommandons de suivre notre politique de divulgation.

Si vous souhaitez demander une invitation au programme de chasse aux bugs, contactez-nous à l’adresse security@onlyoffice.com et précisez votre pseudonyme, l’adresse e-mail associée, ainsi que les détails de vos découvertes.

Liens utiles

ONLYOFFICE Docs 7.3.3 sur GitHub

Télécharger la dernière version d’ONLYOFFICE Docs

À propos de programme HackerOne

Sécurité des solutions ONLYOFFICE

Use ONLYOFFICE for free