ONLYOFFICE 跨站脚本安全漏洞

最新推荐文章于 2024-08-04 17:01:27 发布
最新推荐文章于 2024-08-04 17:01:27 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: onlyoffice 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lishangnotes/article/details/124635286
版权

漏洞信息详情

Ascensio System ONLYOFFICE Document Server 跨站脚本漏洞

  • CNNVD编号:CNNVD-202204-2692
  • 危害等级: 中危
  • CVE编号: CVE-2022-24229
  • 漏洞类型: 跨站脚本
  • 发布时间: 2022-04-08
  • 威胁类型: 远程
  • 更新时间: 2022-04-15

漏洞简介

Ascensio System ONLYOFFICE Document Server是拉脱维亚Ascensio System公司的一套在线办公协作套件。该产品支持文本、电子表格和演示文稿的查看和编辑等。

ONLYOFFICE Document Server Example 7.0.0 之前版本存在跨站脚本漏洞。远程攻击者通过 /example/editor 注入任意 HTML 或 JavaScript。

漏洞公告

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://www.onlyoffice.com/

一个需求
关注
专栏目录
[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-26 434
前文介绍了利用MS Defender实现恶意样本家族批量标注。这篇文章将讲解如何利用火绒实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
[系统安全] 五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-18 496
前文介绍了IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
开源onlyoffice编译完整过坑版
sHImart
01-13 2503
onlyoffice 编译过坑完整版;
【重大消息】ONLYOFFICE 文档 v7.3.3 已成功修复 bug
m0_68274698的博客
03-16 1790
在这个热修复补丁中,我们修复了许多 bug,并成功修补了最近发现的 CVE-2022-47412 漏洞。请阅读下文,了解详情。
onlyoffice集成过程中遇到的坑和常见问题
盛世芳华
07-30 2178
最近需要集成onlyoffice,大致看了一下,非常简单(不要轻易立flag)。但在实际集成过程中遇到了各种各样的问题。
万户 ezOFFICE check_onlyfield.jsp SQL注入漏洞复现
qq_36334672的博客
01-25 292
万户ezOFFICE check_onlyfield.jsp未对用户输入的SQL语句进行过滤或验证导致出现SQL注入漏洞,未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。
onlyoffice的踩坑记
Wangcr_xw的博客
06-05 1574
onlyoffice的小坑
模糊测试--强制性安全漏洞发掘
热门推荐
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
[网络安全提高篇] 一二八.恶意软件分析之利用MS Defender实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-24 395
前文介绍了IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
红队实录系列(一)-从 NodeJS 代码审计到内网突破
tomato_bro的博客
07-14 918
红蓝对抗实战演习
onlyoffice采坑笔记
u013704252的博客
01-18 1520
onlyoffice 20并发限制处理,up to 20 maximum onlyoffice安装-Linux windows 10 下用docker安装onlyoffice服务 onlyoffice安装-Linux onlyoffice相关命令记录 Docker安装Onlyoffice并更新中文字体的办法 修改onlyoffice的文档存储为手动存储,关闭浏览器时不再进行保存 onlyoffice通过插件定位工作表中的单元格 onlyoffice回调函数controller方式实现 on
dzzoffice中安装onlyoffice后打开显示文档安全令牌未正确形成的临时解决办法
dzqxwzoe的博客
02-19 3887
onlyoffice从7.2版本开始,默认情况下启用了JWT,就是加了个密钥,客户端和服务器同一个密钥才能使用,我们通常用docker安装,导致直接安装最新版了,而dzzoffice里的onlyoffice插件用的是还是旧版本,一个有密钥,一个没有,无法互通所以就有下面那个提示了解决方法,更新插件,官方修复还不知道什么时候,幸亏有小胡同学对dzzoffice进行二次开发,,所以就不需要等了,先用上再说,插件可以去小胡同学的gitee下载也可以用我下载好的,已经放到百度网盘里了。
文件上传漏洞
qq_45590470的博客
09-25 1150
upload-labs
漏洞复现】万户OA-check_onlyfield-sql注入
知黑而守白
01-19 185
万户OA ezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。万户OA check_onlyfield 接口存在sql注入漏洞,攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
微软office远程代码执行漏洞(CVE-2017-11882)复现
GUINEW的博客
11-28 2200
微软office远程代码执行漏洞(CVE-2017-11882)复现 metasploit-framework koadic
未授权访问漏洞
最新发布
C233333235的博客
08-04 1015
Redis 默认情况下,会绑定在,如果没有进⾏采⽤相关的策略,⽐如添加防 ⽕墙规则避免其他⾮信任来源 ip 访问等,这样将会将 Redis 服务暴露到公⽹上,如果在没有设 置密码认证(⼀般为空)的情况下,会导致任意⽤户在可以访问⽬标服务器的情况下未授权Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下,利⽤ Redis ⾃身的提供的config 命令,可以进⾏写⽂件操作,攻击者可以成功将⾃⼰的ssh公钥写⼊⽬标服务器的/root/.ssh ⽂件夹的。
四家文档管理系统中披露的未修补安全漏洞
w3cschools的博客
02-12 629
CVE-2022-47415、CVE-2022-47416、CVE-2022-47417 和 CVE-2022-47418 - LogicalDOC 多种存储 XSS。建议受影响的 DMS 用户在从未知或不受信任的来源导入文档时要谨慎行事,并限制匿名、不受信任的用户的创建,并限制某些功能,如聊天和标记给已知用户。存储型 XSS,也称为持久性 XSS,当恶意脚本直接注入易受攻击的 Web 应用程序(例如,通过评论字段)时,会导致流氓代码在每次访问该应用程序时被激活。
ONLYOFFICE:开源、免费、安全,打造定制化办公平台的最佳选择
官方推荐
01-18 1万+
ONLYOFFICE:开源、免费、安全,打造定制化办公平台的最佳选择
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值