CVE-2025-68917 — 神龙十问 AI 深度分析摘要

🚨 **漏洞本质**：ONLYOFFICE Docs < 9.2.1 的评论编辑 `textarea` 存在 **跨站脚本（XSS）**。 💥 **后果**：攻击者可注入恶意脚本 → 用户浏览时执行 → 可能窃取会话/篡改页面。

🔍 **根本原因**： - **缺陷点**：评论编辑表单的 `textarea` 未正确过滤输入。 - **对应CWE**：CWE-79（跨站脚本）。

👥 **影响范围**： - **版本**：ONLYOFFICE Docs **9.2.1 之前**版本。 - **组件**：评论编辑功能（`textarea`）。

⚠️ **黑客能力**： - **所需权限**：**普通用户（PR:L）**即可触发。 - **可获取**：当前用户敏感数据（如 Cookie、Token）。 - **可做**：页面劫持、钓鱼、会话冒充。

📉 **利用门槛**：**低**！ - ✅ 无需特殊权限（普通登录用户即可）。 - ✅ 无需复杂配置。 - ❌ UI交互非必需（UI:N）。

🧪 **现有Exp**： - **PoC**：暂无公开代码（pocs: []）。 - **在野利用**：未提及 → 暂未发现。

🔎 **自查方法**： - 检查版本 < 9.2.1？🚨 高风险。 - 测试评论区 `textarea` 是否过滤 `<script>` 等标签。 - 用浏览器控制台观察渲染后 DOM 是否含未转义脚本。

🛡️ **官方修复**： - ✅ 已在 **9.2.1** 版本修复。 - 🔗 参考：[CHANGELOG](https://github.com/ONLYOFFICE/DocumentServer/blob/master/CHANGELOG.md#921)

⏳ **无补丁临时方案**： - 🚫 限制评论功能或关闭公开评论。 - 🔐 强制输入内容 HTML 转义（WAF/中间件层）。 - 👀 加强输出渲染安全检查。

🔥 **优先级**：**高**！ - CVSS 3.1：**5.4**（中危），但影响多用户 & 易利用。 - 💡 建议立即升级 ≥ 9.2.1 或实施缓解措施。