【重大消息】ONLYOFFICE 文档 v7.3.3 已成功修复 bug

已于 2023-03-16 17:48:55 修改
阅读量1.6k 收藏
点赞数
文章标签: CVE-2022-47412 漏洞 onlyoffice 安全
于 2023-03-16 17:41:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68274698/article/details/129530139
版权

在这个热修复补丁中,我们修复了许多 bug,并成功修补了最近发现的 CVE-2022-47412 漏洞。请阅读下文,了解详情。

v7.3.3 包括了什么改进

v7.3.3 包括所有编辑器、移动应用程序、ONLYOFFICE 文档后台和插件的大量修复。您可以在我们的​​ GitHub ​​上访问完整的更新日志。

最重要的是,CVE-2022-47412 在 v7.3.3 中已成功修复。研究人员最初认为该漏洞与 ONLYOFFICE 工作区代码相关联。实际上,该漏洞可通过 ONLYOFFICE 文档执行。

关于 CVE-2022-47412

CVE-2022-47412 是 CWE-79 的一个实例:网页生成期间的不正确输出中和(“跨站脚本”,'Cross-site Scripting'),最开始是 Rapid7 的研究员 Matthew Kienow 在 2023 年 2 月发现的。

一般来说,它是一个多重 DMS XSS 漏洞,让入侵者能够检索目标用户客户端的信息。入侵者会共享包含跨站点脚本 (XSS) 代码的恶意文档。当文档保存在文档管理系统中、用户在 ONLYOFFICE 文档的文档内容中执行搜索操作时,此操作会触发 XSS 在用户浏览器中执行。

漏洞的潜在影响包括,通过窃取用户的会话 cookie 或挂在浏览器上,代表受害者执行自定义命令,在组织的门户中冒充特权用户。

如要了解详细的场景,请参阅原始报告

如何向 ONLYOFFICE 团队报告漏洞

如要向 ONLYOFFICE 安全团队提交漏洞,请通过 ONLYOFFICE HackerOne 程序 进行。为避免安全风险,您建议遵守我们的披露政策。

如果您希望获得错误悬赏计划的邀请,请联系我们,请写明您的昵称、关联的电子邮件,以及您发现问题的详细信息。

相关链接

GitHub 上的 ONLYOFFICE 文档 7.3.3

ONLYOFFICE
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现】万户OA-check_onlyfield-sql注入
知黑而守白
01-19 100
万户OA ezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。万户OA check_onlyfield 接口存在sql注入漏洞,攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
万户 ezOFFICE check_onlyfield.jsp SQL注入漏洞复现
qq_36334672的博客
01-25 250
万户ezOFFICE check_onlyfield.jsp未对用户输入的SQL语句进行过滤或验证导致出现SQL注入漏洞,未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。
关于OnlyOffice 限制20人使用解决方案
tiger_Angle
08-04 3178
请购买正版。
ONLYOFFICE:开源、免费、安全,打造定制化办公平台的最佳选择
最新发布
m0_71744044的博客
06-05 889
说起 Office 办公软件,我想大家最常用的应该就是微软的 Microsoft Office 以及国产的 WPSOffice。两款办公软件说不上二者谁更厉害,只能说在用户视角看来都“不那么完美”,前者订阅制,后者会员制,就算花了money,在日常使用的便捷性上多少都差点意思。那么有没有一款功能强大、经济实惠、安全可靠的办公软件呢?当然,今天给大家推荐的ONLYOFFICE——一个强大的、开源的、免费的、跨平台的、可定制的、自足部署的、安全的办公平台,专为开发者和团队提供完美的办公解决方案。
ONLYOFFICE 跨站脚本安全漏洞
一个需求
05-07 1935
漏洞信息详情 Ascensio System ONLYOFFICE Document Server 跨站脚本漏洞 CNNVD编号:CNNVD-202204-2692 危害等级: 中危 CVE编号: CVE-2022-24229 漏洞类型: 跨站脚本 发布时间: 2022-04-08 威胁类型: 远程 更新时间: 2022-04-15 漏洞简介 Ascensio System ONLYOFFICE Document Server是拉脱维亚Ascensio System公司的一套在线办公协作套件。该产品支持
ONLYOFFICE 文档协作升级后修改了一些bug,汉字重复,支持中文
hotqin888的专栏
04-13 3189
 原来说的几个缺点,已经修改了几个,比如chrome浏览器和opera浏览器中,输入汉字,然后输入符号的时候,会重复输入前面的汉字,已经修复。已经自带了文泉驿中文字体,所以打开中文都没问题了。excel的快速模式,也可以无限撤回了。之前只有严格模式可以撤回。新版刚放出来5天,赶快去体验吧。但是,一些界面翻译错误依然存在,比如Excel的改变行高,依然翻译成改变列宽。Excel依然不支持双击行或列,...
onlyoffice6.2中excel数据验证bug满满
hotqin888的专栏
03-28 549
刚推出来这个功能,和excel2019一毛一样。但对日期的验证存在严重问题,不小心还造成表格出错,退出编辑,下次仍然退出。 中文字体名称上,对仿宋字体用的font family为fangsong,下到word中不认字体,但字体样式正确。用simfang更不行,下载下来word中字体为宋体。 ...
onlyoffice documentserver7.3.3自编译 docker版
05-28
开源共享文档,文件太大,下载链接见说明 * 去共享连接限制 * 关闭jwt * docker版
onlyoffice离线部署-CentOS,相关依赖
05-13
-onlyoffice部署文档 -epel-release-7-11.noarch.rpm -jdk1.8.0及相关依赖安装包 -nginx-1.16.1及相关依赖安装包 -onlyoffice-documentserver.x86_64.rpm 6.2.0 -onlyoffice-repo.noarch.rpm -postgresql-9.2.24及...
php v7.3.3
10-03
**PHP 7.3.3详解** PHP(PHP:Hypertext Preprocessor)是一种广泛使用的开源脚本语言,尤其在Web开发领域具有显著地位。它以其高效、灵活和实用的特性,深受全球开发者喜爱,从个人博客系统到全球流量巨大的网站,...
myBase Desktop V7.3.3注册补丁
10-23
V7.3.3是该软件的一个版本,它可能包含了新功能的更新、性能优化或者问题修复。这款软件以其灵活的数据库结构、丰富的文本格式支持以及强大的搜索功能而受到用户的青睐。 在描述中提到的注册补丁是用于解除myBase ...
JavaScript编译器Babel v7.3.3
10-03
Babel 是编写下一代 JavaScript 的编译器。 ES2015 and beyond。Babel 默认使用一组 ES2015 语法转换器,允许你使用新的语法,无需等待浏览器支持。 JSX and React。Babel 内置支持 JSX,与 babel-sublim
onlyoffice采坑笔记
u013704252的博客
01-18 1486
onlyoffice 20并发限制处理,up to 20 maximum onlyoffice安装-Linux windows 10 下用docker安装onlyoffice服务 onlyoffice安装-Linux onlyoffice相关命令记录 Docker安装Onlyoffice并更新中文字体的办法 修改onlyoffice文档存储为手动存储,关闭浏览器时不再进行保存 onlyoffice通过插件定位工作表中的单元格 onlyoffice回调函数controller方式实现 on
OnlyOffice的两个大坑
琼小资的专栏
03-13 500
下载请求发出去了,websocket也通知回来了,但没回调绑定的downloadAs事件。word和excel中都有注册,独ppt没有,奇怪,于是仿照word注册进去,还是报错,路径不一样,文件也不一样。仔细分析了他们的流程,word是能正常工作的,整个流程没问题。上面三个路径分别对应ppt,word,excel的加载项。结果发现对应的事件都没做申明,补上居然可以了!这种问题,问官方客服是没有用的,问就是要你看文档。word,ppt,excel均能正常浏览。但同样的功能却搞不一样的实现,有点奇怪。
ONLYOFFICE V7.3版本强势来袭
zyy26的博客
02-06 216
因为利用表单能够创建各类友好的人机对话界面或信息治理界面,从而能够专门好地对数据进行直观、快速、方便的操作,因此需要创建表单。您可为需要填写表单的用户分配各种角色,简化文档工作流。填写完成后可以将表单另存为oform格式,可选择与其他人分享或拒绝分享。这样,用户就能根据角色匹配的颜色,直观地识别他们应该填写哪些字段。,我们将扩展这一功能,增加设置收件人角色的限制以及电子签名的。根据自己的需求点击上方表单格式组合框,填写相对应信息。“你也可以把表单另存为PDF格式,与他人分享,让他。来了新的即用型字段,
onlyoffice历史版本功能实现
hongkid的专栏
10-09 1985
onlyoffice历史版本功能实现
微软office远程代码执行漏洞CVE-2017-11882)复现
GUINEW的博客
11-28 2173
微软office远程代码执行漏洞CVE-2017-11882)复现 metasploit-framework koadic
四家文档管理系统中披露的未修补安全漏洞
w3cschools的博客
02-12 564
CVE-2022-47415、CVE-2022-47416、CVE-2022-47417 和 CVE-2022-47418 - LogicalDOC 多种存储 XSS。建议受影响的 DMS 用户在从未知或不受信任的来源导入文档时要谨慎行事,并限制匿名、不受信任的用户的创建,并限制某些功能,如聊天和标记给已知用户。存储型 XSS,也称为持久性 XSS,当恶意脚本直接注入易受攻击的 Web 应用程序(例如,通过评论字段)时,会导致流氓代码在每次访问该应用程序时被激活。
vce a+.vce.v.7.3.3
07-13
VCE是一种电力装置,v.ce.v.7.3.3是其型号或版本号。VCE代表Voltage Control Equipment(电压控制设备),是一种用于调节电力系统中电压的设备。v.ce.v.7.3.3表示VCE的第7代产品,版本号为7.3.3。 VCE在电力系统中起着重要的作用。它主要用于控制和稳定电压水平,以确保电力系统的可靠运行。VCE可以监测电压的变化,并根据需要进行调整,以保持电网中的电压在安全和稳定的范围内。 v.ce.v.7.3.3作为VCE的型号或版本号,可能代表该设备的一些特定功能和改进。例如,7.3.3可能表示第7代产品中的第3个版本,可能是在之前版本的基础上进行了一些改进和优化。 总之,VCE是一种电力控制设备,v.ce.v.7.3.3是其型号或版本号,表示VCE的第7代产品中的第3个版本。它在电力系统中用于控制和稳定电压,确保电力系统的可靠运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值