Phát hiện lỗ hổng trong nhiều hệ thống quản lý tài liệu

Thứ ba, 09/05/2023 18:33

Nhiều lỗ hổng được phát hiện trong các dịch vụ Hệ thống quản lý tài liệu nguồn mở và freemium từ 4 nhà cung cấp LogicalDOC, Mayan, ONLYOFFICE và OpenKM.

 Rapid7 cho biết, 8 lỗ hổng có một cơ chế mà qua đó “hacker có thể thuyết phục người điều hành lưu tài liệu độc trên nền tảng. Tài liệu này, sau khi được người dùng lập chỉ mục và kích hoạt, sẽ mở ra nhiều con đường cho hacker kiểm soát tổ chức ".

20230415-pg35.jpg

Danh sách tám lỗ hổng cross-site scripting (XSS), được phát hiện bởi nhà nghiên cứu Matthew Kienow của Rapid7, như sau:

  • CVE-2022-47412 – lỗ hổng Stored XSS trên sản phẩm của ONLYOFFICE
  • CVE-2022-47413 và CVE-2022-47414 – lỗ hổng XSS trên sản phẩm của OpenKM
  • CVE-2022-47415, CVE-2022-47416, CVE-2022-47417, và CVE-2022-47418 – lỗ hổng Stored XSS trên sản phẩm của LogicalDOC
  • CVE-2022-47419 - lỗ hổng Stored XSS trên sản phẩm của Mayan

Stored XSS xảy ra khi một tập lệnh độc được đưa trực tiếp vào ứng dụng web (ví dụ: thông qua trường comment), khiến mã lừa đảo được kích hoạt mỗi lần có truy cập vào ứng dụng.

Hacker có thể khai thác các lỗ hổng nói trên bằng cách cung cấp một tài liệu mồi nhử, từ đó mở đường kiểm soát mạng bị xâm nhập.

Tod Beardsley, Giám đốc Nghiên cứu tại Rapid7, cho biết: “Một mô hình tấn công điển hình sẽ là đánh cắp cookie phiên mà một quản trị viên đã đăng nhập và được xác thực, sau đó sử dụng cookie phiên đó để mạo danh và tạo một tài khoản đặc quyền mới”.

Hoặc, kẻ tấn công có thể lạm dụng danh tính của nạn nhân để đưa ra các lệnh tùy ý và lén lút truy cập vào các tài liệu được lưu trữ.

Các lỗ hổng đã được báo cho các nhà cung cấp vào ngày 1 tháng 12 năm 2022 nhưng chưa được khắc phục.

Người dùng các sản phẩm bị ảnh hưởng thận trọng khi nhập tài liệu từ các nguồn không rõ ràng, không đáng tin cậy cũng như hạn chế tạo người dùng ẩn danh, không đáng tin cậy, đồng thời hạn chế một số tính năng như trò chuyện và gắn thẻ người dùng .

 

theo antoanthongtin.vn
banner
icon

Cổng dịch vụ công
Quốc Gia

Những thông tin thủ tục hành chính
khai báo online tại đây

Xem chi tiết icon
icon

Chính sách
pháp luật Việt Nam

Cập nhật thông tin, chính sách
pháp luật Việt Nam

Xem chi tiết icon

Cổng thông tin điện tử của các đơn vị thuộc Bộ

Doanh nghiệp

Top