O ONLYOFFICE Docs 7.3.3 com correções importantes está aqui

16 março 2023By Klaibson

Neste hotfix, eliminamos vários bugs e corrigimos com êxito a vulnerabilidade CVE-20222-47412 descoberta recentemente. Leia para mais informações.

O que foi melhorado na versão 7.3.3

A versão 7.3.3 inclui várias correções em todos os editores, aplicativos móveis, back-end do ONLYOFFICE Docs e plug-ins. Você pode acessar o changelog completo em nosso GitHub.

Mais importante ainda, a vulnerabilidade CVE-2022-47412 foi corrigida com sucesso. Os pesquisadores inicialmente associaram a vulnerabilidade ao código do ONLYOFFICE Workspace. Na verdade, ele era executável por meio do ONLYOFFICE Docs.

Sobre CVE-2022-47412

CVE-2022-47412, uma instância de CWE-79: Neutralização imprópria de entrada durante a geração de página da Web (‘Cross-site Scripting’), foi inicialmente descoberta por Rapid7 pesquisador Matthew Kienow em fevereiro de 2023.

De um modo geral, é uma vulnerabilidade Multiple DMS XSS que permite que o intruso recupere informações sobre o cliente do usuário alvo. O intruso compartilha um documento malicioso que contém um código XSS (cross-site scripting). Quando o documento é salvo em um sistema de gerenciamento de documentos e o usuário executa uma ação de pesquisa no conteúdo do documento no ONLYOFFICE Docs, a ação aciona a execução do XSS no navegador do usuário. O possível impacto pode ser a representação de um usuário privilegiado no portal da organização, roubando o cookie da sessão do usuário ou executando comandos personalizados em nome da vítima, conectando seu navegador.

O cenário detalhado é descrito no report original.

Como relatar vulnerabilidades para a equipe do ONLYOFFICE

O envio das vulnerabilidades à equipe de segurança do ONLYOFFICE é feito por meio do Programa ONLYOFFICE HackerOne program. Para evitar os riscos de segurança, recomendamos seguir nossa Política de Divulgação.

Se você deseja solicitar um convite para o programa de recompensas por bugs, entre em contato conosco em security@onlyoffice.com e especifique seu apelido, e-mail associado e os detalhes sobre suas descobertas.