Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Defectos de seguridad no corregidos revelados en varios sistemas de gestión de documentos
  • Tecnología

Defectos de seguridad no corregidos revelados en varios sistemas de gestión de documentos

teknomers 8 de Şubat de 2023 (Last updated: 8 de Şubat de 2023) 3 minutes read
Defectos de seguridad no corregidos revelados en varios sistemas de


08 de febrero de 2023Ravie LakshmanánGestión de vulnerabilidades

Se han revelado múltiples fallas de seguridad sin parches en las ofertas de sistema de gestión de documentos (DMS) de código abierto y freemium de cuatro proveedores LogicalDOC, Mayan, ONLYOFFICE y OpenKM.

La firma de seguridad cibernética Rapid7 dijo que las ocho vulnerabilidades ofrecen un mecanismo a través del cual “un atacante puede convencer a un operador humano para que guarde un documento malicioso en la plataforma y, una vez que el documento es indexado y activado por el usuario, le da al atacante múltiples rutas para controlar la organización”. .”

La lista de ocho secuencias de comandos entre sitios (XSS), descubierto por el investigador de Rapid7 Matthew Kienow, es el siguiente:

  • CVE-2022-47412 – Búsqueda de espacio de trabajo de ONLYOFFICE XSS almacenado
  • CVE-2022-47413 y CVE-2022-47414 – Documento OpenKM y XSS de aplicación
  • CVE-2022-47415, CVE-2022-47416, CVE-2022-47417 y CVE-2022-47418 – LogicalDOC Múltiples XSS almacenados
  • CVE-2022-47419 – Etiqueta maya EDMS guardada XSS

El XSS almacenado, también conocido como XSS persistente, ocurre cuando se inyecta un script malicioso directamente en una aplicación web vulnerable (por ejemplo, a través de un campo de comentarios), lo que hace que el código no autorizado se active cada vez que se visita la aplicación.

Un actor de amenazas puede explotar las fallas antes mencionadas al proporcionar un documento de señuelo, otorgando al intruso la capacidad de aumentar su control sobre la red comprometida.

“Un patrón de ataque típico sería robar la cookie de sesión con la que se autentica un administrador que ha iniciado sesión localmente y reutilizar esa cookie de sesión para hacerse pasar por ese usuario y crear una nueva cuenta privilegiada”, Tod Beardsley, director de investigación de Rapid7, dicho.

En un escenario alternativo, el atacante podría abusar de la identidad de la víctima para inyectar comandos arbitrarios y obtener acceso sigiloso a los documentos almacenados.

La firma de ciberseguridad señaló que las fallas se informaron a los respectivos proveedores el 1 de diciembre de 2022 y continúan sin corregirse a pesar de coordinar las divulgaciones con el Centro de Coordinación CERT (CERT/CC).

Se recomienda a los usuarios del DMS afectado que procedan con precaución al importar documentos de fuentes desconocidas o que no sean de confianza, así como que limiten la creación de usuarios anónimos que no sean de confianza y restrinjan ciertas funciones, como los chats y el etiquetado, a usuarios conocidos.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Cuarenta municipios otorgan automáticamente determinadas asignaciones familiares
Next: ‘No puedes estar medio embarazada’: por qué Rothschild está pidiendo tiempo en el mercado público

Related Stories

Astrónomos de UC Irvine descubren un nueva exoplaneta similar a
  • Tecnología

Astrónomos de UC Irvine descubren un nueva exoplaneta similar a la Tierra

teknomers 3 de Temmuz de 2026
El cifrado de Signal en una YubiKey: aquí está Darkup,
  • Tecnología

El cifrado de Signal en una YubiKey: aquí está Darkup, una nueva mensajería segura francesa

teknomers 3 de Temmuz de 2026
Badge de autopista: ¿para qué sirve y cómo funciona el
  • Tecnología

Badge de autopista: ¿para qué sirve y cómo funciona el telepeaje?

teknomers 3 de Temmuz de 2026

You May Have Missed

  • General

Un « super tifón » amenaza las islas del Pacífico, con ráfagas de hasta 280 km/h esperadas

teknomers 3 de Temmuz de 2026
Fin de recorrido para Julian Nagelsmann, Jürgen Klopp esperado: tras
  • Deporte

Fin de recorrido para Julian Nagelsmann, Jürgen Klopp esperado: tras su desilusión, Alemania hace su revolución

teknomers 3 de Temmuz de 2026
«La escritura tiene una belleza gráfica, como los jeroglíficos»: en
  • Cultura

«La escritura tiene una belleza gráfica, como los jeroglíficos»: en el laberinto de los manuscritos de Albert Camus en la BNF

teknomers 3 de Temmuz de 2026
Astrónomos de UC Irvine descubren un nueva exoplaneta similar a
  • Tecnología

Astrónomos de UC Irvine descubren un nueva exoplaneta similar a la Tierra

teknomers 3 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.