Nhiều lỗ hổng bảo mật chưa được vá đã được tiết lộ trong các dịch vụ Hệ thống quản lý tài liệu (DMS) nguồn mở và freemium từ bốn nhà cung cấp LogicalDOC, Mayan, ONLYOFFICE và OpenKM.
Công ty an ninh mạng Rapid7 cho biết tám lỗ hổng cung cấp một cơ chế mà qua đó “kẻ tấn công có thể thuyết phục người điều hành con người lưu tài liệu độc hại trên nền tảng và sau khi tài liệu được người dùng lập chỉ mục và kích hoạt, sẽ cung cấp cho kẻ tấn công nhiều đường dẫn để kiểm soát tổ chức .”
Danh sách tám lỗ hổng cross-site scripting (XSS), được phát hiện bởi nhà nghiên cứu Rapid7 Matthew Kienow, như sau –
- CVE-2022-47412 – Tìm kiếm trong không gian làm việc DUY NHẤT XSS được lưu trữ
- CVE-2022-47413 và CVE-2022-47414 – XSS Tài liệu và Ứng dụng OpenKM
- CVE-2022-47415, CVE-2022-47416, CVE-2022-47417 và CVE-2022-47418 – XSS được lưu trữ nhiều LogicalDOC
- CVE-2022-47419 – Thẻ Maya EDMS được lưu trữ XSS
XSS được lưu trữ, còn được gọi là XSS liên tục, xảy ra khi một tập lệnh độc hại được đưa trực tiếp vào ứng dụng web dễ bị tổn thương (ví dụ: thông qua trường nhận xét), khiến mã lừa đảo được kích hoạt mỗi lần truy cập vào ứng dụng.
Tác nhân đe dọa có thể khai thác các lỗ hổng nói trên bằng cách cung cấp tài liệu mồi nhử, cấp cho kẻ xen kẽ khả năng tiếp tục kiểm soát mạng bị xâm nhập,
Tod Beardsley, giám đốc nghiên cứu tại Rapid7, cho biết: “Một mô hình tấn công điển hình sẽ là đánh cắp cookie phiên mà quản trị viên đăng nhập cục bộ được xác thực và sử dụng lại cookie phiên đó để mạo danh người dùng đó để tạo một tài khoản đặc quyền mới”. .
Trong một kịch bản thay thế, kẻ tấn công có thể lạm dụng danh tính của nạn nhân để đưa ra các lệnh tùy ý và giành quyền truy cập lén lút vào các tài liệu được lưu trữ.
Công ty an ninh mạng lưu ý rằng các lỗ hổng đã được báo cáo cho các nhà cung cấp tương ứng vào ngày 1 tháng 12 năm 2022 và tiếp tục không được sửa chữa mặc dù đã phối hợp tiết lộ với Trung tâm điều phối CERT (CERT/CC).
Người dùng của DMS bị ảnh hưởng nên thận trọng khi nhập tài liệu từ các nguồn không xác định hoặc không đáng tin cậy cũng như hạn chế tạo người dùng ẩn danh, không đáng tin cậy và hạn chế một số tính năng như trò chuyện và gắn thẻ cho người dùng đã biết.
Cập nhật: DUY NHẤT đã xác nhận với THN rằng phần mềm quản lý tài liệu của họ đã được cập nhật lên phiên bản 7.3.3 vào ngày 15 tháng 3 năm 2023, xử lý CVE-2022-47412 được mô tả trong bài viết này.
