É stata rilasciata la versione ONLYOFFICE Docs 7.3.3 con importanti correzioni

16 marzo 2023By Elena

In questo hotfix, abbiamo eliminato numerosi bug e risolto con successo la vulnerabilità CVE-2022-47412 scoperta di recente. Continua a leggere per ulteriori informazioni.

CVE-2022-47412 fixed in ONLYOFFICE

Cosa è stato migliorato nella versione 7.3.3

La versione 7.3.3 include numerose correzioni in tutti gli editor, le app mobili, il backend di ONLYOFFICE Docs e i plugin. Puoi accedere al registro completo delle modifiche sulla nostra pagina GitHub.

Ancora più importante, la vulnerabilità CVE-2022-47412 è stata risolta con successo. I ricercatori hanno inizialmente associato la vulnerabilità al codice di ONLYOFFICE Workspace. Infatti, era eseguibile tramite ONLYOFFICE Docs.

Informazioni su CVE-2022-47412

CVE-2022-47412, un’istanza di CWE-79: Improper Neutralization of Input During Web Page Generation (“Cross-site Scripting”), è stata inizialmente scoperta dal ricercatore di Rapid7 Matthew Kienow nel febbraio 2023.

In generale, si tratta di una vulnerabilità XSS DMS multipla che consente all’intruso di recuperare informazioni sul client dell’utente preso di mira. L’intruso condivide un documento dannoso che contiene un codice XSS (cross-site scripting). Quando il documento viene salvato all’interno di un sistema di gestione dei documenti e l’utente esegue un’azione di ricerca all’interno del document content in ONLYOFFICE Docs, l’azione innesca l’esecuzione dell’XSS nel browser dell’utente.

Il possibile impatto potrebbe essere la furto d’identità di un utente privilegiato all’interno del portale dell’organizzazione rubando il cookie di sessione dell’utente o eseguendo comandi personalizzati per conto della vittima collegando il proprio browser.

Lo scenario dettagliato è descritto nel report originale.

Come segnalare le vulnerabilità al team di ONLYOFFICE

La segnalazione delle vulnerabilità al team di sicurezza di ONLYOFFICE avviene tramite il programma HackerOne di ONLYOFFICE. Per evitare i rischi per la sicurezza, ti consigliamo di seguire la nostra politica di divulgazione.

Se desideri richiedere un invito al programma bug bounty, contattaci all’indirizzo security@onlyoffice.com e specifica il tuo nickname, l’email associata e i dettagli sui tuoi risultati.