Anton Fabricius

**Nome do software vulnerável e versões afetadas** Versões do ONLYOFFICE Docs anteriores à 8.0.1 **Descrição** O problema está relacionado a uma correção incorreta de uma falha anterior, o que permite a execução de código entre sites (Cross-Site Scripting, XSS) devido a uma macro ser uma expressão de função de invocação imediata (IIFE). Isso permite uma fuga da sandbox ao chamar diretamente o construtor do objeto `Function`. **Recomendações** Para versões anteriores à 8.0.1, atualize para a versão 8.0.1 ou posterior para resolver o problema. Como solução temporária, considere restringir a execução de macros para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do ONLYOFFICE Docs anteriores à 8.1.0 **Descrição** O problema está relacionado a uma falha de script entre sites (XSS) no ONLYOFFICE Docs, que ocorre por meio de um ataque ao objeto GeneratorFunction em uma macro. Isso está relacionado ao uso de uma expressão de função de invocação imediata. **Recomendações** Para versões anteriores à 8.1.0, atualize para a versão 8.1.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de macros no ONLYOFFICE Docs até que a atualização seja aplicada.