Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Çoklu Doküman Yönetim Sistemlerinde Ortaya Çıkan Yamasız Güvenlik Açıkları
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Çoklu Doküman Yönetim Sistemlerinde Ortaya Çıkan Yamasız Güvenlik Açıkları

GenelSiber Güvenlik

Çoklu Doküman Yönetim Sistemlerinde Ortaya Çıkan Yamasız Güvenlik Açıkları

teknomers
Son güncelleme: 9 Şubat 2023 04:43
teknomers
Paylaş
Paylaş


08 Şubat 2023Ravie LakshmananGüvenlik Açığı Yönetimi

LogicalDOC, Mayan, ONLYOFFICE ve OpenKM olmak üzere dört sağlayıcının açık kaynaklı ve ücretsiz Doküman Yönetim Sistemi (DMS) tekliflerinde çok sayıda yama yapılmamış güvenlik kusuru ifşa edilmiştir.

Siber güvenlik firması Rapid7, sekiz güvenlik açığının “bir saldırganın bir insan operatörü platformda kötü niyetli bir belgeyi kaydetmeye ikna edebileceği ve belge kullanıcı tarafından dizine eklendiğinde ve tetiklendiğinde, saldırgana kuruluşu kontrol etmesi için birden fazla yol sağlayan bir mekanizma sunduğunu söyledi. .”

Sekiz siteler arası betik çalıştırma listesi (XSSRapid7 araştırmacısı Matthew Kienow tarafından keşfedilen ) kusurlar ise şu şekilde:

  • CVE-2022-47412 – ONLYOFFICE Çalışma Alanı Araması Saklanan XSS
  • CVE-2022-47413 ve CVE-2022-47414 – OpenKM Belgesi ve Uygulama XSS
  • CVE-2022-47415, CVE-2022-47416, CVE-2022-47417 ve CVE-2022-47418 – LogicalDOC Çoklu Kayıtlı XSS
  • CVE-2022-47419 – Maya EDMS Etiketi Depolanmış XSS

Kalıcı XSS ​​olarak da bilinen depolanmış XSS, kötü amaçlı bir komut dosyası doğrudan savunmasız bir web uygulamasına (örneğin, bir yorum alanı aracılığıyla) enjekte edildiğinde ortaya çıkar ve uygulamaya yapılan her ziyarette hileli kodun etkinleştirilmesine neden olur.

Bir tehdit aktörü, araya giren kişiye güvenliği ihlal edilmiş ağ üzerinde kontrollerini artırma yeteneği veren bir tuzak belge sağlayarak yukarıda belirtilen kusurlardan yararlanabilir.

Rapid7 araştırma direktörü Tod Beardsley, “Tipik bir saldırı modeli, yerel olarak oturum açmış bir yöneticinin kimliğinin doğrulandığı oturum tanımlama bilgisini çalmak ve bu oturum tanımlama bilgisini o kullanıcının kimliğine bürünerek yeni bir ayrıcalıklı hesap oluşturmak üzere yeniden kullanmak olacaktır.” söz konusu.

Alternatif bir senaryoda, saldırgan, rastgele komutlar enjekte etmek ve depolanan belgelere gizlice erişim elde etmek için kurbanın kimliğini kötüye kullanabilir.

Siber güvenlik firması, kusurların 1 Aralık 2022’de ilgili satıcılara bildirildiğini ve açıklamaları CERT Koordinasyon Merkezi (CERT/CC) ile koordine etmesine rağmen düzeltilmeden devam ettiğini kaydetti.

Etkilenen DMS kullanıcılarına, bilinmeyen veya güvenilmeyen kaynaklardan belgeleri içe aktarırken dikkatli davranmaları, ayrıca anonim, güvenilmeyen kullanıcıların oluşturulmasını sınırlamaları ve bilinen kullanıcılarla sohbet ve etiketleme gibi belirli özellikleri kısıtlamaları önerilir.



siber-2

Fitbit Inspire 3 ile Samsung Galaxy Fit3 ile 6.500 adım yürüdüm – işte kazanan
“Gnusmas” sadece Samsung için rahatsız edici bir takma ad değil, aynı zamanda resmi bir ticari markadır. Şirket, G-nusmas markasını tescil ettirmiştir.
TikTok, Spotify veya Apple Music’e şarkı eklemeyi kolaylaştırıyor
Amazon’un Electronic Arts Satın Almayı Planladığı Bildirildi
Cep Telefonunuzu Bir Uzay İzleme Aracına Dönüştürün
ETİKETLENDİ:Açıklarıağ güvenliğibilgi Güvenliğibilgisayar Güvenliğibilgisayar korsanı haberleriÇıkanÇokludokümanfidye yazılımı kötü amaçlı yazılımgüvenlikhack haberlerihacker haberleriNasıl heklenirortayasiber güncellemelersiber güvenlik güncellemelerisiber güvenlik haberleriSiber güvenlik haberleri bugünSiber Haberlersiber saldırılarsistemlerindeveri ihlaliYamasızyazılım güvenlik açığıyönetim
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Nintendo’nun ilk 70 dolarlık oyunu The Legend of Zelda: Tears of the Kingdom
Sonraki Makale Hogwarts Legacy saat kulesi bulmaca çözümü

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

2026’nın En Büyük Filminin Yıldızı Call Of Duty: MW4 Hakkında Konuşacak
Oyun
Laravel 13’te OpenAI Kullanarak Yapay Zeka Destekli İçerik Üretimi
Yazılım
Favori Oyununuza Hakim Olun, Yılda 15.000 Dolar Kazanın
Oyun
OpenAI Araştırmacısı Miles Wang, 2 Milyar Dolar Değerinde AI İlaç Geliştirme Girişimi Kuruyor
Genel
SAP, NetWeaver ve Commerce Cloud’da Acil Güvenlik Açıkları Açıkladı
Siber Güvenlik
Sony Yeni PS5 Dövüş Kumandasını Erteledi mi?
Liste
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?