常用文档管理系统存在安全漏洞

重点信息

根据 SecurityWeek 的报道，包括Mayan、OnlyOffice、LogicalDOC和OpenKM等在内的多款广泛使用的本地和云端文档管理系统解决方案受到八个 跨站脚本漏洞XSS 的影响，这些漏洞可能会被利用来访问敏感文档。这些漏洞可以被用来窃取管理员会话cookie，并进行用户冒充以获取DMS访问权限。

OnlyOffice Workspace 12101760 受到最严重漏洞的影响，该漏洞被标记为 CVE202247412，需要诱使受害者打开一个带有恶意 DMS 存储文档的嵌入式搜索，数据由Rapid7提供。逻辑文档管理系统LogicalDOC CE/Enterprise 873/882也受到四个XSS漏洞的影响，这些漏洞从 CVE202247415 跟踪到 CVE202247418。而另外两个漏洞，标记为 CVE202247413 和 CVE202247414，则影响 OpenKM 6312，后者需要 OpenKM 控制台访问。更有甚者，Mayan EDMS 433 的漏洞标记为 CVE202247419，发现影响其内置的标签系统。

“考虑到文档管理系统中存储的XSS漏洞的高危性，尤其是这些系统通常是自动化工作流程的一部分，管理员被敦促紧急应用任何供应商提供的更新。”Rapid7指出。不过，目前尚无供应商对此漏洞进行修复。

更新于2023年3月16日：OnlyOffice已修复了XSS漏洞，并在GitHub上发布了相关文档。

这些漏洞不仅威胁到用户的隐私，也可能影响企业的安全性，因此及时更新和修复是每个管理员不可忽视的重要任务。