BI.ZONE предупреждает о цепочке уязвимостей OnlyShells в ONLYOFFICE

BI.ZONE предупреждает о цепочке уязвимостей OnlyShells в ONLYOFFICE

С ее помощью злоумышленники могли повысить привилегии в системе. Компанию уведомили об угрозе, после чего она выпустила обновление, исправляющее уязвимости
17 июля 2026 г.

ONLYOFFICE Desktop Editors — офисный пакет с открытым исходным кодом. По данным компании, им пользуются более 15 млн человек по всему миру. Согласно оценке BI.ZONE TDR, около 30% российских компаний применяют это программное обеспечение.

Группа исследования уязвимостей выявила несколько проблем в ONLYOFFICE Desktop Editors, которым были присвоены идентификаторы CVE. По шкале CVSS 2.0 уязвимости CVE‑2025‑68917, CVE‑2025‑68935 и CVE‑2025‑68936 получили оценку 6,4. Также наши специалисты обнаружили в продукте уязвимости CVE‑2026‑41030 и CVE‑2023‑2033. Компанию‑разработчика проинформировали об угрозах в рамках политики ответственного разглашения, после чего она выпустила обновление, которое их устраняет.

Угроза затрагивает компании, использующие ONLYOFFICE в качестве сервиса для просмотра и редактирования офисных документов. Уязвимости возникли из‑за недостаточной проверки пользовательских данных и использования устаревших зависимостей.

При эксплуатации уязвимостей CVE‑2023‑2033, CVE‑2025‑68917, CVE‑2025‑68935 и CVE‑2025‑68936 злоумышленник мог добиться выполнения произвольного кода в операционной системе. Для этого жертве достаточно было открыть офисный документ, специально подготовленный атакующим. После выполнения кода злоумышленник мог воспользоваться CVE‑2026‑41030 и повысить доступ до привилегированного пользователя в системах с Windows.

В классических фишинговых атаках с вредоносными макросами атакующий должен вовлечь пользователя и подтолкнуть его к дополнительным действиям. В обнаруженной цепочке уязвимостей достаточно открыть файл: никакого другого взаимодействия не требуется, поэтому она относится к классу 1‑click. В случае ее успешной эксплуатации злоумышленник получает возможность выполнять произвольный код с максимальными привилегиями — от имени суперпользователя. При этом современные СЗИ не детектируют эксплуатацию цепочки, поэтому она особенно опасна и может пройти полностью незамеченной.
Павел Блинников
Руководитель группы исследования уязвимостей

Чтобы устранить обнаруженные уязвимости, рекомендуем обновить ONLYOFFICE Desktop Editors до версии 9.3.0. Помимо этого BI.ZONE EDR успешно обнаруживает постэксплуатацию уязвимостей цепочки OnlyShells.