OnlyOffice Docs 7.3.3 soigne la sécurité : une mise à jour importante
(2023/03/17)
- Reference: 2023-03-17T06_38_18Z
- News link: https://www.toolinux.com/?onlyoffice-docs-7-3-3-soigne-la-securite-une-mise-a-jour-importante
- Source link:
OnlyOffice Docs 7.3.3 soigne la sécurité : une mise à jour importante
vendredi 17 mars 2023
Quelques semaines après la sortie de la [1]version 7.3 , la suite bureautique européenne soigne sa monture, mais corrige une importante vulnérabilité. La mise à jour est jugée critique.
Dans ce correctif, les développeurs d’OnlyOffice ont éliminé de nombreux bogues (comme on peut le voir [2]sur Github ) et corrigé la vulnérabilité [3]CVE-2022-47412 récemment découverte. La correction est faite à tous les niveaux, y compris pour les clients de bureau sous Windows, Linux et macOS.
Pourquoi est-ce important ? CVE-2022-47412 est une vulnérabilité XSS Multiple DMS qui permet de récupérer des informations sur le client de l’utilisateur ciblé. L’impact possible peut être l ’usurpation de l’identité d’un utilisateur privilégié dans le portail de l’organisation en volant le cookie de session de l’utilisateur ou en exécutant des commandes personnalisées au nom de la victime en accrochant son navigateur.
L’éditeur Ascensio rappelle que la soumission des vulnérabilités à l’équipe de sécurité se fait par le biais du programme [4]HackerOne .
[5]
[1] https://www.toolinux.com/?onlyoffice-nouvelle-version
[2] https://github.com/ONLYOFFICE/DocumentServer/blob/master/CHANGELOG.md#733
[3] https://www.rapid7.com/blog/post/2023/02/07/multiple-dms-xss-cve-2022-47412-through-cve-20222-47419/
[4] https://www.onlyoffice.com/blog/2022/02/onlyoffice-is-launching-a-bounty-program-on-hackerone/
[5] https://www.toolinux.com/?onlyoffice-docs-7-3-3-soigne-la-securite-une-mise-a-jour-importante#forum
vendredi 17 mars 2023
Quelques semaines après la sortie de la [1]version 7.3 , la suite bureautique européenne soigne sa monture, mais corrige une importante vulnérabilité. La mise à jour est jugée critique.
Dans ce correctif, les développeurs d’OnlyOffice ont éliminé de nombreux bogues (comme on peut le voir [2]sur Github ) et corrigé la vulnérabilité [3]CVE-2022-47412 récemment découverte. La correction est faite à tous les niveaux, y compris pour les clients de bureau sous Windows, Linux et macOS.
Pourquoi est-ce important ? CVE-2022-47412 est une vulnérabilité XSS Multiple DMS qui permet de récupérer des informations sur le client de l’utilisateur ciblé. L’impact possible peut être l ’usurpation de l’identité d’un utilisateur privilégié dans le portail de l’organisation en volant le cookie de session de l’utilisateur ou en exécutant des commandes personnalisées au nom de la victime en accrochant son navigateur.
L’éditeur Ascensio rappelle que la soumission des vulnérabilités à l’équipe de sécurité se fait par le biais du programme [4]HackerOne .
[5]
[1] https://www.toolinux.com/?onlyoffice-nouvelle-version
[2] https://github.com/ONLYOFFICE/DocumentServer/blob/master/CHANGELOG.md#733
[3] https://www.rapid7.com/blog/post/2023/02/07/multiple-dms-xss-cve-2022-47412-through-cve-20222-47419/
[4] https://www.onlyoffice.com/blog/2022/02/onlyoffice-is-launching-a-bounty-program-on-hackerone/
[5] https://www.toolinux.com/?onlyoffice-docs-7-3-3-soigne-la-securite-une-mise-a-jour-importante#forum