Rapid7は2月7日(米国時間)、「Multiple DMS XSS (CVE-2022-47412 through CVE-20222-47419)|Rapid7 Blog」において、オープンソースおよびフリーミアム版の文書管理システム(DMS: Document Management System)にパッチ未適用の複数の脆弱性があることを伝えた。ONLYOFFICE、OpenKM、LogicalDOC、Mayanが提供する文書管理システムに、8つの脆弱性が存在することが明らかとなった。
-
Multiple DMS XSS (CVE-2022-47412 through CVE-20222-47419)|Rapid7 Blog
公開された欠陥はどれもクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性とされている。主な内容は次のとおり。
| ベンダ | 製品 | バージョン | CVE |
|---|---|---|---|
| ONLYOFFICE | Workspace | 12.1.0.1760 | CVE-2022-47412 |
| OpenKM | OpenKM | 6.3.12 | CVE-2022-47413 |
| OpenKM | OpenKM | 6.3.12 | CVE-2022-47414 |
| LogicalDOC | LogicalDOC CE/Enterprise | 8.7.3/8.8.2 | CVE-2022-47415 |
| LogicalDOC | LogicalDOC Enterprise | 8.8.2 | CVE-2022-47416 |
| LogicalDOC | LogicalDOC CE/Enterprise | 8.7.3/8.8.2 | CVE-2022-47417 |
| LogicalDOC | LogicalDOC CE/Enterprise | 8.7.3/8.8.2 | CVE-2022-47418 |
| Mayan | Mayan EDMS | 4.3.3 | CVE-2022-47419 |
これらの問題はすべてRapid7の研究者によって発見され、同社のセキュリティ科学チームにより検証されている。また、対象のDMSを提供するベンダーに対し報告済みであり、CERT Coordination Center (CERT/CC)と開示を調整したことも伝えられている。
対象となるDMSを使用しているユーザーは未知または信頼できないソースからの文書取り込み時に注意を払い、匿名ユーザーの作成やチャットやタグ付けなどの一部の機能を制限するなどの緩和策を実施することが推奨されている。
