PT-2021-22992 · Onlyoffice · Onlyoffice Document Server Translate Plugin
Khromovnikita
·
Publicado
2021-09-10
·
Atualizado
2021-09-24
·
CVE-2021-40864
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Translate do ONLYOFFICE Document Server, versões 6.1.x a 6.3.x anteriores à 6.3.0.72
Descrição
O problema está relacionado à ausência de chamadas de escape para os campos
msg.data e text no plugin Translate. Isso poderia potencialmente levar a problemas de segurança, embora não sejam fornecidos detalhes específicos sobre exploração ou dispositivos afetados.Recomendações
Para as versões 6.1.x a 6.3.x anteriores à 6.3.0.72, atualize para a versão 6.3.0.72 ou posterior para resolver o problema.
No momento, não há informações sobre outras medidas de mitigação para este problema específico.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Onlyoffice Document Server Translate Plugin