关键信息总结 漏洞概述 漏洞名称: ONLYOFFICE Document Server: Path Traversal (CVE-2023-46988) 影响: 该漏洞对安全性有重大影响,允许攻击者通过路径遍历技术访问敏感文件和系统资源。 发现时间线 发现日期: 2023年10月10日 确认与响应: - 2023年10月11日至11月5日:多次跟进无果。 - 2023年11月5日:向HackerOne提交报告。 - 2023年11月28日:ONLYOFFICE最终回应,确认正在修复问题。 - 2024年2月26日:ONLYOFFICE发布修复版本。 技术细节 漏洞类型: 路径遍历漏洞 受影响的参数: 参数 影响版本: ONLYOFFICE Document Server 7.4.0、7.4.1、7.3.0、7.2.1、8.0.0 利用方式: 攻击者可以利用路径遍历技术复制或读取服务器上的任意文件,包括配置文件、数据库凭证等敏感信息。 高风险可提取文件 ONLYOFFICE配置文件(包含数据库凭证、JWT密钥等) 用户上传的文档 系统信息泄露(如操作系统版本、环境变量等) 影响分析 1. 未授权访问敏感文件 - 泄露系统信息 - 数据库凭证暴露 - 访问用户上传的文档 2. 自我托管服务DoS攻击 - 填充存储空间导致服务中断 - 删除临时文件导致服务重启 3. 进一步利用的潜力 - 使用泄露的信息进行其他安全绕过 - 目标其他用户的文件 - 可能的RCE(远程代码执行)机会 缓解建议 1. 更新到最新版本 2. 限制对受影响端点的访问 3. 检查是否有被利用的迹象 结论 此漏洞突显了快速响应的重要性。尽管ONLYOFFICE在数月后发布了修复补丁,但延迟的响应导致潜在的长期暴露。这强调了供应商责任和透明度在维护信任中的重要性。