Mehrere ungepatchte Sicherheitslücken wurden in Open-Source- und Freemium-Dokumentenmanagementsystemen (DMS) von vier Anbietern – LogicalDOC, Mayan, ONLYOFFICE und OpenKM – entdeckt.
Laut der Cybersecurity-Firma Rapid7 bieten die acht Schwachstellen einen Mechanismus, durch den „ein Angreifer einen menschlichen Bediener davon überzeugen kann, ein bösartiges Dokument auf der Plattform zu speichern und, sobald das Dokument indiziert und vom Benutzer ausgelöst wurde, dem Angreifer mehrere Wege zur Kontrolle der Organisation zu geben.“
Die Liste der acht Cross-Site-Scripting(XSS)-Schwachstellen, die vom Rapid7-Forscher Matthew Kienow entdeckt wurden, lautet wie folgt
- CVE-2022-47412 – ONLYOFFICE Workspace Search Stored XSS
- CVE-2022-47413 und CVE-2022-47414 – OpenKM Document and Application XSS
- CVE-2022-47415, CVE-2022-47416, CVE-2022-47417, und CVE-2022-47418 – LogicalDOC Multiple Stored XSS
- CVE-2022-47419 – Mayan EDMS Tag Stored XSS
Stored XSS, auch bekannt als persistentes XSS, tritt auf, wenn ein bösartiges Skript direkt in eine verwundbare Webanwendung eingeschleust wird (z. B. über ein Kommentarfeld), wodurch der bösartige Code bei jedem Besuch der Anwendung aktiviert wird.
Ein Angreifer kann die oben genannten Schwachstellen ausnutzen, indem er ein Täuschungsdokument bereitstellt, das dem Eindringling die Möglichkeit gibt, die Kontrolle über das kompromittierte Netzwerk zu übernehmen,
„Ein typisches Angriffsmuster wäre es, den Sitzungscookie zu stehlen, mit dem sich ein lokal angemeldeter Administrator authentifiziert, und diesen Sitzungscookie wiederzuverwenden, um sich als dieser Benutzer auszugeben und ein neues privilegiertes Konto zu erstellen“, so Tod Beardsley, Forschungsdirektor bei Rapid7.
In einem anderen Szenario könnte der Angreifer die Identität des Opfers missbrauchen, um beliebige Befehle einzuschleusen und sich heimlich Zugang zu den gespeicherten Dokumenten zu verschaffen.
Das Cybersecurity-Unternehmen wies darauf hin, dass die Schwachstellen am 1. Dezember 2022 an die jeweiligen Anbieter gemeldet wurden und trotz der Koordinierung mit dem CERT Coordination Center (CERT/CC) noch nicht behoben sind.
Den Nutzern des betroffenen DMS wird geraten, beim Importieren von Dokumenten aus unbekannten oder nicht vertrauenswürdigen Quellen vorsichtig zu sein, das Anlegen von anonymen, nicht vertrauenswürdigen Nutzern einzuschränken und bestimmte Funktionen wie Chats und Tagging auf bekannte Nutzer zu beschränken.