ONLYOFFICE Docs 7.3.3(重要な修正あり)がリリース!

2023年03月16日著者:Denis

今回のホットフィックスでは、多数のバグを解消し、最近発見された脆弱性CVE-2022-47412のパッチ適用に成功しました。詳しくはこの記事をご覧ください。
CVE-2022-47412 fixed in ONLYOFFICE

バージョン7.3.3の改善点

バージョン7.3.3では、すべてのエディタ、モバイルアプリ、ONLYOFFICE Docsバックエンド、プラグインで多数の修正が行われました。完全な変更ログはGitHubで公開されています。

最も重要なのは、CVE-2022-47412の脆弱性が修正されたことです。当初、この脆弱性がONLYOFFICE Workspaceのコードに関連付かれました。実際には、ONLYOFFICE Docsを通して実行可能でした。

CVE-2022-47412について

CVE-2022-47412は、CWE-79の一例です。ウェブページ生成時の入力の不適切な中和(「クロスサイトスクリプティング」)は、2023年2月にRapid7の研究者Matthew Kienow氏によって最初に発見されました。

一般的には、Multiple DMS XSSの脆弱性であり、侵入者がターゲットユーザーのクライアントに関する情報を取得することができます。侵入者は、クロスサイトスクリプティング(XSS)コードを含む悪意のあるドキュメントを共有します。この文書が文書管理システム内に保存され、ユーザーが ONLYOFFICE Docs の文書コンテンツ内で検索アクションを実行すると、そのアクションをトリガーにユーザーのブラウザで XSS が実行されます。

想定される影響としては、ユーザーのセッションクッキーを盗むことによる組織のポータル内の特権ユーザーのなりすましや、ユーザーのブラウザをフックすることによる被害者に代わってのカスタムコマンドの実行が考えられます。詳細なシナリオは、オリジナルのレポートに記載されています。

ONLYOFFICEチームへの脆弱性報告方法について

ONLYOFFICEセキュリティチームへの脆弱性の提出は、ONLYOFFICE HackerOneプログラムを通じて行われます。セキュリティリスクを回避するために、情報公開ポリシーに従うことをお勧めします。

バグバウンティプログラムへの招待を希望される方は、security@onlyoffice.com、ニックネーム、関連する電子メール、発見した内容に関する詳細を明記してご連絡ください。