Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Defectos de seguridad no corregidos revelados en varios sistemas de gestión de documentos
  • Tecnología

Defectos de seguridad no corregidos revelados en varios sistemas de gestión de documentos

teknomers 8 de Şubat de 2023 (Last updated: 8 de Şubat de 2023) 3 minutes read
Defectos de seguridad no corregidos revelados en varios sistemas de


08 de febrero de 2023Ravie LakshmanánGestión de vulnerabilidades

Se han revelado múltiples fallas de seguridad sin parches en las ofertas de sistema de gestión de documentos (DMS) de código abierto y freemium de cuatro proveedores LogicalDOC, Mayan, ONLYOFFICE y OpenKM.

La firma de seguridad cibernética Rapid7 dijo que las ocho vulnerabilidades ofrecen un mecanismo a través del cual “un atacante puede convencer a un operador humano para que guarde un documento malicioso en la plataforma y, una vez que el documento es indexado y activado por el usuario, le da al atacante múltiples rutas para controlar la organización”. .”

La lista de ocho secuencias de comandos entre sitios (XSS), descubierto por el investigador de Rapid7 Matthew Kienow, es el siguiente:

  • CVE-2022-47412 – Búsqueda de espacio de trabajo de ONLYOFFICE XSS almacenado
  • CVE-2022-47413 y CVE-2022-47414 – Documento OpenKM y XSS de aplicación
  • CVE-2022-47415, CVE-2022-47416, CVE-2022-47417 y CVE-2022-47418 – LogicalDOC Múltiples XSS almacenados
  • CVE-2022-47419 – Etiqueta maya EDMS guardada XSS

El XSS almacenado, también conocido como XSS persistente, ocurre cuando se inyecta un script malicioso directamente en una aplicación web vulnerable (por ejemplo, a través de un campo de comentarios), lo que hace que el código no autorizado se active cada vez que se visita la aplicación.

Un actor de amenazas puede explotar las fallas antes mencionadas al proporcionar un documento de señuelo, otorgando al intruso la capacidad de aumentar su control sobre la red comprometida.

“Un patrón de ataque típico sería robar la cookie de sesión con la que se autentica un administrador que ha iniciado sesión localmente y reutilizar esa cookie de sesión para hacerse pasar por ese usuario y crear una nueva cuenta privilegiada”, Tod Beardsley, director de investigación de Rapid7, dicho.

En un escenario alternativo, el atacante podría abusar de la identidad de la víctima para inyectar comandos arbitrarios y obtener acceso sigiloso a los documentos almacenados.

La firma de ciberseguridad señaló que las fallas se informaron a los respectivos proveedores el 1 de diciembre de 2022 y continúan sin corregirse a pesar de coordinar las divulgaciones con el Centro de Coordinación CERT (CERT/CC).

Se recomienda a los usuarios del DMS afectado que procedan con precaución al importar documentos de fuentes desconocidas o que no sean de confianza, así como que limiten la creación de usuarios anónimos que no sean de confianza y restrinjan ciertas funciones, como los chats y el etiquetado, a usuarios conocidos.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Cuarenta municipios otorgan automáticamente determinadas asignaciones familiares
Next: ‘No puedes estar medio embarazada’: por qué Rothschild está pidiendo tiempo en el mercado público

Related Stories

RTX 5060 Gaming OC a menos de 310€ en PcComponentes:
  • Tecnología

RTX 5060 Gaming OC a menos de 310€ en PcComponentes: la tarjeta que hace que el 1080p sea accesible

teknomers 3 de Temmuz de 2026
Même GitHub se moque de la fin des disques chez
  • Tecnología

Même GitHub se moque de la fin des disques chez PlayStation : comment obtenir gratuitement un CD de votre dépôt

teknomers 3 de Temmuz de 2026
Amazon está lista para lanzar Leo, su Internet por satélite:
  • Tecnología

Amazon está lista para lanzar Leo, su Internet por satélite: Starlink puede temblar

teknomers 3 de Temmuz de 2026

You May Have Missed

  • General

«No tenía ni una uña aplastada»: el increíble rescate de Hernan Gil tras 200 horas bajo los escombros en Venezuela

teknomers 3 de Temmuz de 2026
  • Deporte

Bidones de detergente y frutas XXL, quads decorados… Los secretos de un fabricante de carros de la caravana del Tour de France

teknomers 3 de Temmuz de 2026
  • Cultura

Un ex-candidato de « Mariés au premier regard » arrestado por viol en el Reino Unido, una investigación en curso tras las acusaciones.

teknomers 3 de Temmuz de 2026
RTX 5060 Gaming OC a menos de 310€ en PcComponentes:
  • Tecnología

RTX 5060 Gaming OC a menos de 310€ en PcComponentes: la tarjeta que hace que el 1080p sea accesible

teknomers 3 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.