四大DMS厂商对XSS零日漏洞保持沉默

Charlie Osborne
2023年2月10日

研究人员披露了一系列影响四大企业文档管理系统(DMS)供应商的严重漏洞，而这些厂商尚未解决问题。

Rapid7研究总监Tod Beardsley在2月7日发布的博客文章中指出，这些跨站脚本(XSS)漏洞影响ONLYOFFICE、OpenKM、LogicalDOC和Mayan等厂商。Rapid7检查的所有软件都是本地部署、云、开源或免费增值的DMS解决方案。

研究人员建议：“考虑到文档管理系统中存储型XSS漏洞的高危性，尤其是那些经常作为自动化工作流一部分的系统，管理员应紧急应用供应商提供的任何更新。“然而截至发稿时，尚未出现此类更新。

漏洞分析

最严重的问题属于ONLYOFFICE的Workspace企业应用平台。被追踪为CVE-2022-47412，据信影响0至12.1.0.1760版本，如果攻击者能确保恶意文档保存在DMS中进行索引，就可能利用这个存储型XSS漏洞。

当受害者无意中保存文档并触发XSS条件时，攻击者可以窃取会话cookie来创建新的特权账户，或执行浏览器会话挂钩并获取存储文档的访问权限。

另外两个漏洞CVE-2022-47413和CVE-2022-47414影响OpenKM开源DMS 6.3.12版本。CVE-2022-47413是另一个存储型XSS漏洞，需要受害者将恶意文档保存在DMS中。另一个漏洞要求攻击者拥有对OpenKM控制台的认证访问权限。如果满足此条件，可以在文档"注释"功能中触发存储型XSS安全缺陷。

在LogicalDOC的开源DMS中发现了四个严重性较低的漏洞。然而，CVE-2022-47416（应用内聊天系统中的存储型XSS）是唯一仅影响DMS企业版的漏洞。

CVE-2022-47415、CVE-2022-47417和CVE-2022-47418都影响LogicalDOC社区版和企业版，分别为8.7.3和8.8.2版本。这些漏洞存在于应用内消息系统、存储文档文件名索引和存储文档版本注释中。所有漏洞都需要某种形式的认证或访问权限，尽管Rapid7表示仅凭访客权限通常就足以针对管理员。

最后一个未修补的漏洞是CVE-2022-47419，这是在Mayan开源DMS EDMS Workspace 4.3.3版本中发现的基于标签的XSS。

厂商无回应

在所有情况下，Rapid7都尝试通过电子邮件地址、支持渠道和支持工单联系供应商。

“不幸的是，尽管与CERT/CC协调了这些披露，但这些供应商都没有能够回应Rapid7的披露联系，“该公司表示。“因此，这些问题正在按照Rapid7的漏洞披露政策进行披露。”

Rapid7告诉The Daily Swig，自披露以来，这些组织都没有联系过。

Rapid7研究员Matthew Kienow发现了这些漏洞。The Daily Swig已联系每家厂商征求意见。如果我们收到回复，将更新此报道。