Se han revelado múltiples fallas de seguridad sin parches en el sistema de gestión de documentos (DMS) de código abierto y freemium de cuatro proveedores LogicalDOC, Mayan, ONLYOFFICE y OpenKM.

La firma de seguridad cibernética Rapid7 dijo que las ocho vulnerabilidades ofrecen un mecanismo a través del cual «un atacante puede convencer a un operador humano para que guarde un documento malicioso en la plataforma y, una vez que el documento es indexado y activado por el usuario, le da al atacante múltiples rutas para controlar la organización». .»

La lista de ocho fallas de secuencias de comandos en sitios cruzados ( XSS ), descubiertas por el investigador de Rapid7, Matthew Kienow, es la siguiente:

  • CVE-2022-47412 – Búsqueda de espacio de trabajo de ONLYOFFICE XSS almacenado
  • CVE-2022-47413 y CVE-2022-47414 – Documento OpenKM y XSS de aplicación
  • CVE-2022-47415, CVE-2022-47416, CVE-2022-47417 y CVE-2022-47418 – LogicalDOC XSS de almacenamiento múltiple
  • CVE-2022-47419 – Etiqueta maya EDMS guardada XSS

El XSS almacenado, también conocido como XSS persistente, ocurre cuando se inyecta un script malicioso directamente en una aplicación web vulnerable (por ejemplo, a través de un campo de comentarios), lo que hace que el código no autorizado se active cada vez que se visita la aplicación.

Un actor de amenazas puede explotar las fallas antes mencionadas al proporcionar un documento de señuelo, otorgando al intruso la capacidad de aumentar su control sobre la red comprometida.

«Un patrón de ataque típico sería robar la cookie de sesión con la que se autentica un administrador conectado localmente y reutilizar esa cookie de sesión para suplantar a ese usuario para crear una nueva cuenta privilegiada», dijo Tod Beardsley, director de investigación de Rapid7 . .

En un escenario alternativo, el atacante podría abusar de la identidad de la víctima para inyectar comandos arbitrarios y obtener acceso sigiloso a los documentos almacenados.

La firma de ciberseguridad señaló que las fallas se informaron a los respectivos proveedores el 1 de diciembre de 2022 y continúan sin corregirse a pesar de coordinar las divulgaciones con el Centro de Coordinación CERT (CERT/CC).

Se recomienda a los usuarios del DMS afectado que procedan con precaución al importar documentos de fuentes desconocidas o que no sean de confianza, así como que limiten la creación de usuarios anónimos que no sean de confianza y restrinjan ciertas funciones, como los chats y el etiquetado, a usuarios conocidos.

Fuente y redacción: thehackernews.com

Compartir