国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

四家供應(yīng)商 LogicalDOC、Mayan、ONLYOFFICE 和 OpenKM 的開源和免費增值文檔管理系統(tǒng) (DMS) 產(chǎn)品中披露了多個未修補的安全漏洞。

佛山市東聯(lián)科技有限公司網(wǎng)絡(luò)安全研究人員表示，這八個漏洞提供了一種機制，“攻擊者可以通過該機制說服人類操作員在平臺上保存惡意文檔，一旦文檔被用戶索引并觸發(fā)，攻擊者就會通過多種途徑控制組織”。

東聯(lián)科技研究員 發(fā)現(xiàn)的八個跨站點腳本 ( XSS ) 漏洞列表如下 -

CVE-2022-47412 - ONLYOFFICE 工作區(qū)搜索存儲 XSS

CVE-2022-47413 和 CVE-2022-47414 - OpenKM 文檔和應(yīng)用程序 XSS

CVE-2022-47415、CVE-2022-47416、CVE-2022-47417 和 CVE-2022-47418 - LogicalDOC 多種存儲 XSS

CVE-2022-47419 - Mayan EDMS 標(biāo)簽存儲 XSS

存儲型 XSS，也稱為持久性 XSS，當(dāng)惡意腳本直接注入易受攻擊的 Web 應(yīng)用程序（例如，通過評論字段）時，會導(dǎo)致流氓代碼在每次訪問該應(yīng)用程序時被激活。

威脅行為者可以通過提供誘餌文件來利用上述缺陷，使入侵者能夠進(jìn)一步控制受感染的網(wǎng)絡(luò)，

“一種典型的攻擊模式是竊取本地登錄管理員經(jīng)過身份驗證的會話 cookie，然后重用該會話 cookie 來模擬該用戶以創(chuàng)建一個新的特權(quán)賬戶，”研究人員說。 .

在另一種情況下，攻擊者可以濫用受害者的身份來注入任意命令并獲得對存儲文檔的秘密訪問權(quán)限。

這家網(wǎng)絡(luò)安全公司指出，這些缺陷已于 2022 年 12 月 1 日報告給各自的供應(yīng)商，盡管與 CERT 協(xié)調(diào)中心 (CERT/CC) 協(xié)調(diào)披露，但仍未修復(fù)。

建議受影響的 DMS 用戶在從未知或不受信任的來源導(dǎo)入文檔時要謹(jǐn)慎行事，并限制匿名、不受信任的用戶的創(chuàng)建，并限制某些功能，如聊天和標(biāo)記給已知用戶。（歡迎轉(zhuǎn)載分享）