BDU:2025-06823

Опубликовано: 14 фев. 2025

Источник: fstec

CVSS3: 6.1

CVSS2: 6.4

EPSS Низкий

Описание

Уязвимость реализации протокола WOPI офисного онлайн-пакета ONLYOFFICE Docs (DocumentServer) связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки путем отправки специально сформированных POST-запросов

Вендор

Ascensio System SIA

Наименование ПО

ONLYOFFICE Docs

Версия ПО

до 8.3.1 включительно (ONLYOFFICE Docs)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://sec-consult.com/vulnerability-lab/advisory/reflected-cross-site-scripting-in-onlyoffice-docs-documentserver/

https://github.com/ONLYOFFICE/DocumentServer/releases

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://sec-consult.com/vulnerability-lab/advisory/reflected-cross-site-scripting-in-onlyoffice-docs-documentserver/

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-5301
CVE

EPSS

Процентиль: 90%

0.05349

Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

CVE-2025-5301

CVSS3: 6.1

nvd

8 месяцев назад

ONLYOFFICE Docs (DocumentServer) in versions equal and below 8.3.1 are affected by a reflected cross-site scripting (XSS) issue when opening files via the WOPI protocol. Attackers could inject malicious scripts via crafted HTTP POST requests, which are then reflected in the server's HTML response.

GHSA-r5fg-8fjv-3w9h

CVSS3: 6.1

github

8 месяцев назад

EPSS

Процентиль: 90%

0.05349

Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2