【复现】ONLYOFFICE Community Server远程代码执行漏洞(CVE-2023-34939)风险通告
2023-6-25 17:4:19 Author: 赛博昆仑CERT(查看原文) 阅读量:1202 收藏

-赛博昆仑漏洞安全通告-

ONLYOFFICE Community Server远程代码执行漏洞(CVE-2023-34939)风险通告

漏洞描述

ONLYOFFICE Community Server 是一款免费的开源协作系统,旨在在一个地方管理文档、项目、客户关系和电子邮件通信。从版本 11.0 开始,社区服务器根据 Apache 许可证条款作为 ONLYOFFICE 组进行分发。

近日,赛博昆仑CERT监测到ONLYOFFICE Community Server存在任意文件上传漏洞,当ONLYOFFICE Community Server的论坛存在讨论话题时,未经授权的攻击者可上传任意文件并导致任意代码执行,从而控制服务器。

漏洞名称

ONLYOFFICE Community Server远程代码执行漏洞

漏洞公开编号

CVE-2023-34939

昆仑漏洞库编号

CYKL-2023-008983

漏洞类型

文件上传

公开时间

2023-6-22

漏洞等级

高危

评分

暂无

漏洞所需权限

无权限要求

漏洞利用难度

PoC状态

已知

EXP状态

已知

漏洞细节

已知

在野利用

未知

影响版本
ONLYOFFICE Community Server< 12.5.2
利用条件

需要ONLYOFFICE Community Server的论坛模块存在讨论话题。

漏洞复现
赛博昆仑CERT已复现CVE-2023-34939

产品侧解决方案

  • 赛博昆仑洞见平台

赛博昆仑-洞见平台以风险运营为核心思想,结合资产、漏洞和威胁进行风险量化与风险排序,并在不中断业务运行的前提下完成威胁阻断和漏洞修复,从而实现实时的风险消除。

  • 资产风险规则

目前赛博昆仑-洞见平台的资产风险检测模块已加入该漏洞的检测规则并提示对应风险:
防护措施
  • 修复建议

官方已发布新版本,升级至12.5.2

https://github.com/ONLYOFFICE/CommunityServer/releases

  • 技术业务咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。

赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。

联系邮箱:[email protected]
公众号:赛博昆仑CERT

参考链接

https://github.com/ONLYOFFICE/CommunityServer/releases

时间线

2023年6月25日,赛博昆仑CERT公众号发布漏洞风险通告


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247484235&idx=1&sn=246e46db4d18c374c66546825aabf887&chksm=c12afecaf65d77dc441a40945cf047c425ac90c286f6e26b8331e805a982ccfd6cebc27ec039#rd
如有侵权请联系:admin#unsafe.sh