【重大消息】ONLYOFFICE 文档 v7.3.3 已成功修复 bug

在这个热修复补丁中，我们修复了许多 bug，并成功修补了最近发现的 CVE-2022-47412 漏洞。请阅读下文，了解详情。

v7.3.3 包括了什么改进

v7.3.3 包括所有编辑器、移动应用程序、ONLYOFFICE 文档后台和插件的大量修复。您可以在我们的 GitHub 上访问完整的更新日志。

最重要的是，CVE-2022-47412 在 v7.3.3 中已成功修复。研究人员最初认为该漏洞与 ONLYOFFICE 工作区代码相关联。实际上，该漏洞可通过 ONLYOFFICE 文档执行。

关于 CVE-2022-47412

CVE-2022-47412 是 CWE-79 的一个实例：网页生成期间的不正确输出中和（“跨站脚本”，’Cross-site Scripting’），最开始是 Rapid7 的研究员 Matthew Kienow 在 2023 年 2 月发现的。

一般来说，它是一个多重 DMS XSS 漏洞，让入侵者能够检索目标用户客户端的信息。入侵者会共享包含跨站点脚本 (XSS) 代码的恶意文档。当文档保存在文档管理系统中、用户在 ONLYOFFICE 文档的文档内容中执行搜索操作时，此操作会触发 XSS 在用户浏览器中执行。

漏洞的潜在影响包括，通过窃取用户的会话 cookie 或挂在浏览器上，代表受害者执行自定义命令，在组织的门户中冒充特权用户。

如要了解详细的场景，请参阅原始报告。

如何向 ONLYOFFICE 团队报告漏洞

如要向 ONLYOFFICE 安全团队提交漏洞，请通过 ONLYOFFICE HackerOne 程序 进行。为避免安全风险，您建议遵守我们的披露政策。

如果您希望获得 bug 悬赏计划的邀请，请发送邮件至 security@onlyoffice.com 联系我们，请写明您的昵称、关联的电子邮件，以及您发现问题的详细信息。