供应商对XSS零日漏洞保持沉默

研究人员披露了一系列严重的文档管理系统漏洞，影响了四家尚未解决问题的企业供应商。

在2月7日发布的博客文章中，Rapid7的研究主管Tod Beardsley表示，跨站脚本漏洞影响了ONLYOFFICE、OpenKM、LogicalDOC和Mayan等供应商。Rapid7检查的所有软件均为本地部署、云、开源或免费增值的DMS解决方案。

研究人员建议：“考虑到存储型XSS漏洞在文档管理系统中的高严重性，尤其是常作为自动化工作流一部分的系统，管理员应紧急应用供应商提供的更新。”然而，截至发稿时尚未出现此类更新。

漏洞详情

最严重的问题属于ONLYOFFICE的Workspace企业应用平台。跟踪为CVE-2022-47412，据信影响版本0至12.1.0.1760，该存储型XSS漏洞可在攻击者确保恶意文档保存在DMS中进行索引时被利用。

当受害者无意中保存文档并触发XSS条件时，攻击者可以窃取会话cookie以创建新的特权账户，或执行浏览器会话挂钩并获取存储文档的访问权限。

另外两个漏洞CVE-2022-47413和CVE-2022-47414影响OpenKM的开源DMS版本6.3.12。CVE-2022-47413是另一个存储型XSS漏洞，需要受害者将恶意文档保存在DMS中。另一个漏洞要求攻击者具有对OpenKM控制台的认证访问权限。如果满足此条件，可以在文档“注释”功能中触发存储型XSS安全漏洞。

在LogicalDOC的开源DMS中发现了四个严重性较低的漏洞。然而，CVE-2022-47416是应用内聊天系统中的存储型XSS，是唯一仅影响DMS企业版的漏洞。

CVE-2022-47415、CVE-2022-47417和CVE-2022-47418均影响LogicalDOC社区版和企业版，版本分别为8.7.3和8.8.2。这些漏洞存在于应用内消息系统、存储文档文件名索引和存储文档版本评论中。尽管Rapid7表示仅来宾权限通常足以针对管理员，但所有漏洞都需要某种形式的认证或访问权限。

最后，严重性最低的未修补漏洞是CVE-2022-47419，这是在Mayan的开源DMS EDMS Workspace版本4.3.3中发现的基于标签的XSS。

无回应

在所有情况下，Rapid7尝试通过电子邮件地址、支持渠道和支持工单联系供应商。

公司表示：“不幸的是，尽管与CERT/CC协调了这些披露，但这些供应商均未能回应Rapid7的披露联系。因此，这些问题正根据Rapid7的漏洞披露政策进行披露。”

Rapid7告诉The Daily Swig，自披露以来，这些组织均未联系。Rapid7研究员Matthew Kienow发现了这些漏洞。

The Daily Swig已联系每家供应商征求意见。如果我们收到回复，将更新此报道。