Više nezakrpljenih sigurnosnih propusta otkriveno je u open source i freemium sistemima za upravljanje dokumentima (DMS) četiri dobavljača: LogicalDOC, Mayan, ONLYOFFICE i OpenKM.
Firma za kibernetičku bezbjednost Rapid7 rekla je da osam ranjivosti nude mehanizam putem kojeg “napadač može uvjeriti ljudskog operatera da sačuva maliciozni dokument na platformi i, nakon što je dokument indeksiran i aktiviran od strane korisnika, dajući napadaču više puteva za kontrolu organizacije.”
Lista od osam grešaka u skriptovanju na više lokacija (XSS), koje je otkrio istraživač Rapid7 Matthew Kienow, je sljedeća:
- CVE-2022-47412 – ONLYOFFICE Pretraživanje radnog prostora pohranjenog XSS
- CVE-2022-47413 i CVE-2022-47414 – OpenKM dokument i aplikacija XSS
- CVE-2022-47415, CVE-2022-47416, CVE-2022-47417 i CVE-2022-47418 – LogicalDOC višestruko pohranjeni XSS
- CVE-2022-47419 – Mayan EDMS Tag Stored XSS
Pohranjeni XSS, također poznat kao perzistentni XSS, nastaje kada se maliciozna skripta ubaci direktno u ranjivu web aplikaciju (npr. preko polja za komentare) uzrokujući aktiviranje lažnog koda pri svakoj posjeti aplikaciji.
Učesnik prijetnje može iskoristiti gore spomenute nedostatke tako što će obezbijediti lažni dokument, dajući mogućnost dalje kontrole nad kompromitovanom mrežom.
“Tipičan obrazac napada bi bio da se ukrade kolačić sesije s kojim je lokalno prijavljen administrator autentifikovan i da se taj kolačić sesije ponovo koristi za lažno predstavljanje tog korisnika kako bi kreirao novi privilegovani račun”, rekao je Tod Beardsley, direktor istraživanja u Rapid7.
U alternativnom scenariju, napadač bi mogao zloupotrijebiti identitet žrtve kako bi ubacio proizvoljne komande i dobio prikriveni pristup pohranjenim dokumentima.
Firma za kibernetičku bezbjednost je napomenula da su nedostaci prijavljeni odgovarajućim dobavljačima 1. decembra 2022. godine i da i dalje ostaju nepopravljeni uprkos koordinaciji otkrivanja podataka sa CERT Koordinacionim centrom (CERT/CC).
Korisnicima pogođenog DMS-a savjetuje se da budu oprezni prilikom uvoza dokumenata iz nepoznatih ili nepouzdanih izvora, kao i da ograniče stvaranje anonimnih, nepouzdanih korisnika i ograniče određene funkcije kao što su ćaskanje i označavanje na poznate korisnike.
Izvor: The Hacker News