常用文档管理系统存在安全漏洞

重点信息

• 多个文档管理系统（DMS）产品存在高危XSS漏洞，可能导致敏感文档被访问。
• 各种漏洞可能被用于盗取管理会话cookie和进行用户冒充。
• OnlyOffice、LogicalDOC、OpenKM和Mayan的产品受到影响。
• 迄今为止，OnlyOffice已发布补丁修复了相关漏洞。

根据 的报道，包括Mayan、OnlyOffice、LogicalDOC和OpenKM等在内的多款广泛使用的本地和云端文档管理系统解决方案受到八个

的影响，这些漏洞可能会被利用来访问敏感文档。这些漏洞可以被用来窃取管理员会话cookie，并进行用户冒充以获取DMS访问权限。

OnlyOffice Workspace 12.1.0.1760 受到最严重漏洞的影响，该漏洞被标记为 CVE-2022-47412，需要诱使受害者打开一个带有恶意 DMS 存储文档的嵌入式搜索，数据由Rapid7提供。逻辑文档管理系统（LogicalDOCCE/Enterprise 8.7.3/8.8.2）也受到四个XSS漏洞的影响，这些漏洞从 CVE-2022-47415 跟踪到 CVE-2022-47418。而另外两个漏洞，标记为 CVE-2022-47413 和 CVE-2022-47414，则影响 OpenKM6.3.12，后者需要 OpenKM 控制台访问。更有甚者，Mayan EDMS 4.3.3 的漏洞标记为 CVE-2022-47419，发现影响其内置的标签系统。

“考虑到文档管理系统中存储的XSS漏洞的高危性，尤其是这些系统通常是自动化工作流程的一部分，管理员被敦促紧急应用任何供应商提供的更新。”Rapid7指出。不过，目前尚无供应商对此漏洞进行修复。

更新于2023年3月16日 ：OnlyOffice已修复了XSS漏洞，并在上发布了相关文档。

这些漏洞不仅威胁到用户的隐私，也可能影响企业的安全性，因此及时更新和修复是每个管理员不可忽视的重要任务。