Cross-Site Scripting-Schwachstelle in ONLYOFFICE Docs (SYSS-2023-027)

Ein Security Advisory von IT Security Consultant Anton Fabricius

Dieses Advisory zeigt, wie aus einem Sandbox-Mechanismus in der Makro-Funktion von ONLYOFFICE Docs ausgebrochen werden kann. Eine Sandbox kommt beispielsweise zum Einsatz, wenn ein Nutzer in die Lage versetzt werden soll, JavaScript auf eine nicht boshafte Art und Weise auszuführen. Hierbei wird versucht, den Umfang der JavaScript-Sprache einzuschränken. Implementierungen einer solchen Sandbox können unterschiedlich ausfallen und sind in der Regel nur schwer umsetzbar.

Detaillierte Informationen zu diesen gefundenen Schwachstellen finden Sie in unserem Security Advisory / You will find detailed information about these security issues in our Security Advisory:

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer