Plusieurs failles de sécurité non corrigées ont été révélées dans les offres de système de gestion de documents (DMS) open source et freemium de quatre fournisseurs LogicalDOC, Mayan, ONLYOFFICE et OpenKM.
La société de cybersécurité Rapid7 a déclaré que les huit vulnérabilités offrent un mécanisme par lequel « un attaquant peut convaincre un opérateur humain d’enregistrer un document malveillant sur la plate-forme et, une fois le document indexé et déclenché par l’utilisateur, donner à l’attaquant plusieurs chemins pour contrôler l’organisation ». . »
La liste des huit scripts intersites (XSS) découvertes par le chercheur de Rapid7 Matthew Kienow, est la suivante –
- CVE-2022-47412 – Recherche d’espace de travail ONLYOFFICE Stocké XSS
- CVE-2022-47413 et CVE-2022-47414 – Document OpenKM et application XSS
- CVE-2022-47415, CVE-2022-47416, CVE-2022-47417 et CVE-2022-47418 – LogicalDOC Plusieurs XSS stockés
- CVE-2022-47419 – Maya EDMS Tag Stored XSS
Le XSS stocké, également connu sous le nom de XSS persistant, se produit lorsqu’un script malveillant est injecté directement dans une application Web vulnérable (par exemple, via un champ de commentaire), provoquant l’activation du code malveillant à chaque visite de l’application.
Un acteur malveillant peut exploiter les failles susmentionnées en fournissant un document leurre, permettant à l’intrus de renforcer son contrôle sur le réseau compromis,
« Un modèle d’attaque typique consisterait à voler le cookie de session avec lequel un administrateur connecté localement est authentifié et à réutiliser ce cookie de session pour se faire passer pour cet utilisateur afin de créer un nouveau compte privilégié », a déclaré Tod Beardsley, directeur de recherche chez Rapid7, a dit.
Dans un scénario alternatif, l’attaquant pourrait abuser de l’identité de la victime pour injecter des commandes arbitraires et obtenir un accès furtif aux documents stockés.
La société de cybersécurité a noté que les failles avaient été signalées aux fournisseurs respectifs le 1er décembre 2022 et n’avaient toujours pas été corrigées malgré la coordination des divulgations avec le centre de coordination du CERT (CERT/CC).
Les utilisateurs du DMS concerné sont invités à procéder avec prudence lors de l’importation de documents provenant de sources inconnues ou non fiables, ainsi qu’à limiter la création d’utilisateurs anonymes et non fiables et à restreindre certaines fonctionnalités telles que les chats et le marquage aux utilisateurs connus.