Rapid7 cho biết, 8 lỗ hổng có một cơ chế mà qua đó “hacker có thể thuyết phục người điều hành lưu tài liệu độc trên nền tảng. Tài liệu này, sau khi được người dùng lập chỉ mục và kích hoạt, sẽ mở ra nhiều con đường cho hacker kiểm soát tổ chức ".
Danh sách tám lỗ hổng cross-site scripting (XSS), được phát hiện bởi nhà nghiên cứu Matthew Kienow của Rapid7, như sau:
CVE-2022-47412 – lỗ hổng Stored XSS trên sản phẩm của ONLYOFFICE
CVE-2022-47413 và CVE-2022-47414 – lỗ hổng XSS trên sản phẩm của OpenKM
CVE-2022-47415, CVE-2022-47416, CVE-2022-47417, và CVE-2022-47418 – lỗ hổng Stored XSS trên sản phẩm của LogicalDOC
CVE-2022-47419 - lỗ hổng Stored XSS trên sản phẩm của Mayan
Stored XSS xảy ra khi một tập lệnh độc được đưa trực tiếp vào ứng dụng web (ví dụ: thông qua trường comment), khiến mã lừa đảo được kích hoạt mỗi lần có truy cập vào ứng dụng.
Hacker có thể khai thác các lỗ hổng nói trên bằng cách cung cấp một tài liệu mồi nhử, từ đó mở đường kiểm soát mạng bị xâm nhập.
Tod Beardsley, Giám đốc Nghiên cứu tại Rapid7, cho biết: “Một mô hình tấn công điển hình sẽ là đánh cắp cookie phiên mà một quản trị viên đã đăng nhập và được xác thực, sau đó sử dụng cookie phiên đó để mạo danh và tạo một tài khoản đặc quyền mới”.
Hoặc, kẻ tấn công có thể lạm dụng danh tính của nạn nhân để đưa ra các lệnh tùy ý và lén lút truy cập vào các tài liệu được lưu trữ.
Các lỗ hổng đã được báo cho các nhà cung cấp vào ngày 1 tháng 12 năm 2022 nhưng chưa được khắc phục.
Người dùng các sản phẩm bị ảnh hưởng thận trọng khi nhập tài liệu từ các nguồn không rõ ràng, không đáng tin cậy cũng như hạn chế tạo người dùng ẩn danh, không đáng tin cậy, đồng thời hạn chế một số tính năng như trò chuyện và gắn thẻ người dùng .