Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Сразу четыре системы для работы с документами содержат неисправленные уязвимости

09/02/23

hack40

7 февраля компания Rapid7 сообщила в своём блоге об обнаружении сразу нескольких уязвимостей в четырех разных офисных пакетах: LogicalDOC, Mayan, ONLYOFFICE и OpenKM. Об этом пишет Securitylab.

8 найденных уязвимостей используют принцип межсайтового скриптинга (XSS), вот их список:

  • ONLYOFFICE: CVE-2022-47412;
  • OpenKM: CVE-2022-47413, CVE-2022-47414;
  • LogicalDOC: CVE-2022-47415, CVE-2022-47416, CVE-2022-47417, CVE-2022-47418;
  • Mayan: CVE-2022-47419.

Хранимый (постоянный) XSS возникает, когда вредоносный скрипт внедряется непосредственно в уязвимое веб-приложение (например, через поле комментария), в результате чего вредоносный код активируется при каждом посещении приложения.

Киберпреступники могут использовать перечисленные выше уязвимости через документ-приманку. Жертва открывает такой документ и тем самым даёт злоумышленнику возможность дальнейшего контроля над скомпрометированной сетью.

«Типичной схемой атаки было бы украсть cookie-файл сеанса, с помощью которого аутентифицируется администратор, вошедший в систему локально. А затем повторно использовать этот cookie-файл, чтобы выдать себя за администратора и создать себе новую учётную запись с повышенным доступом», — сообщил представитель Rapid7. Данная последовательность действий позволяет взломщику получить полный контроль над системой и сохранёнными в ней документами.

В Rapid7 также отметили, что об этих уязвимостях разработчикам офисных пакетов было сообщено ещё 1 декабря 2022 года. Однако все они до сих пор не исправлены. Пользователям затронутых приложений рекомендуется соблюдать осторожность при импорте документов из неизвестных или ненадежных источников, а также ограничить создание анонимных, ненадежных пользователей и ограничить всем пользователям определенные функции, такие как чаты и пометки.

Темы:УгрозыRapid7
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...