CVE-2025-5301

Nome do Software Vulnerável e Versões Afetadas ONLYOFFICE Docs (DocumentServer) versões 8.3.1 e anteriores

Descrição O ONLYOFFICE Docs (DocumentServer) está suscetível a uma falha de Cross-Site Scripting (XSS) refletido ao manipular arquivos através do protocolo WOPI. Um atacante pode injetar scripts maliciosos enviando solicitações HTTP POST especialmente elaboradas. Essas solicitações são então refletidas na resposta HTML do servidor, potencialmente permitindo a execução de código arbitrário no contexto do navegador do usuário. O problema decorre da falta de sanitização adequada da estrutura da página web.

Recomendações As versões do ONLYOFFICE Docs (DocumentServer) anteriores à 8.3.1 são afetadas. Atualize o ONLYOFFICE Docs (DocumentServer) para uma versão superior à 8.3.1.