BI.ZONE предупреждает о цепочке уязвимостей OnlyShells в ONLYOFFICE
ONLYOFFICE Desktop Editors — офисный пакет с открытым исходным кодом. По данным компании, им пользуются более 15 млн человек по всему миру. Согласно оценке BI.ZONE TDR, около 30% российских компаний применяют это программное обеспечение.
Группа исследования уязвимостей выявила несколько проблем в ONLYOFFICE Desktop Editors, которым были присвоены идентификаторы CVE. По шкале CVSS 2.0 уязвимости CVE‑2025‑68917, CVE‑2025‑68935 и CVE‑2025‑68936 получили оценку 6,4. Также наши специалисты обнаружили в продукте уязвимости CVE‑2026‑41030 и CVE‑2023‑2033. Компанию‑разработчика проинформировали об угрозах в рамках политики ответственного разглашения, после чего она выпустила обновление, которое их устраняет.
Угроза затрагивает компании, использующие ONLYOFFICE в качестве сервиса для просмотра и редактирования офисных документов. Уязвимости возникли из‑за недостаточной проверки пользовательских данных и использования устаревших зависимостей.
При эксплуатации уязвимостей CVE‑2023‑2033, CVE‑2025‑68917, CVE‑2025‑68935 и CVE‑2025‑68936 злоумышленник мог добиться выполнения произвольного кода в операционной системе. Для этого жертве достаточно было открыть офисный документ, специально подготовленный атакующим. После выполнения кода злоумышленник мог воспользоваться CVE‑2026‑41030 и повысить доступ до привилегированного пользователя в системах с Windows.
Чтобы устранить обнаруженные уязвимости, рекомендуем обновить ONLYOFFICE Desktop Editors до версии 9.3.0. Помимо этого BI.ZONE EDR успешно обнаруживает постэксплуатацию уязвимостей цепочки OnlyShells.