Nhiều lỗ hổng bảo mật phát hiện trong các dịch vụ Hệ thống quản lý tài liệu (DMS) và freemium từ bốn nhà cung cấp LogicalDOC, Mayan, ONLYOFFICE và OpenKM.
Công ty an ninh mạng Rapid7 cho biết 8 lỗ hổng cung cấp một cơ chế mà qua đó “kẻ tấn công có thể thuyết phục người điều hành lưu tài liệu độc hại trên nền tảng và sau khi tài liệu được người dùng lập chỉ mục và kích hoạt, sẽ cung cấp cho kẻ tấn công nhiều đường dẫn để kiểm soát tổ chức .”
Danh sách tám lỗ hổng cross-site scripting ( XSS ), được phát hiện bởi nhà nghiên cứu Rapid7 Matthew Kienow, như sau –
- CVE-2022-47412 – lỗ hổng Stored XSS trên sản phẩm của ONLYOFFICE
- CVE-2022-47413 và CVE-2022-47414 – XSS Tài liệu và Ứng dụng OpenKM
- CVE-2022-47415, CVE-2022-47416, CVE-2022-47417 và CVE-2022-47418 – XSS được lưu trữ nhiều LogicalDOC
- CVE-2022-47419 – Thẻ Maya EDMS được lưu trữ XSS
Stored XSS xảy ra khi một tập lệnh độc được đưa trực tiếp vào ứng dụng web (ví dụ: thông qua trường comment), khiến mã lừa đảo được kích hoạt mỗi lần có truy cập vào ứng dụng.
Tod Beardsley, Giám đốc Nghiên cứu tại Rapid7, cho biết: “Một mô hình tấn công điển hình sẽ là đánh cắp cookie phiên mà một quản trị viên đã đăng nhập và được xác thực, sau đó sử dụng cookie phiên đó để mạo danh và tạo một tài khoản đặc quyền mới”.
Hoặc, kẻ tấn công có thể lạm dụng danh tính của nạn nhân để đưa ra các lệnh tùy ý và lén lút truy cập vào các tài liệu được lưu trữ.
Các lỗ hổng đã được báo cho các nhà cung cấp vào ngày 1 tháng 12 năm 2022 nhưng chưa được khắc phục.
Người dùng các sản phẩm bị ảnh hưởng thận trọng khi nhập tài liệu từ các nguồn không rõ ràng, không đáng tin cậy cũng như hạn chế tạo người dùng ẩn danh, không đáng tin cậy, đồng thời hạn chế một số tính năng như trò chuyện và gắn thẻ người dùng .