WBase de données des vulnérabilités WordPress

Alerte de la communauté XSS dans ONLYOFFICE DocSpace (CVE202411750)

Cross Site Scripting (XSS) dans le plugin WordPress ONLYOFFICE DocSpace
0
Partages
0
0
0
0
Nom du plugin ONLYOFFICE DocSpace
Type de vulnérabilité Script intersite (XSS)
Numéro CVE CVE-2024-11750
Urgence Faible
Date de publication CVE 2026-02-03
URL source CVE-2024-11750

XSS stocké authentifié (contributeur) dans ONLYOFFICE DocSpace (<= 2.1.1) — Ce que les propriétaires de sites doivent faire maintenant

Auteur : Expert en sécurité de Hong Kong — Date : 2026-02-03

Résumé : Une vulnérabilité de Cross‑Site Scripting (XSS) stockée dans les versions ≤ 2.1.1 d'ONLYOFFICE DocSpace (CVE‑2024‑11750) permet à un utilisateur authentifié avec des privilèges de contributeur de stocker des charges utiles de script qui s'exécutent dans les navigateurs d'autres utilisateurs. La version 2.1.2 contient le correctif. Cet avis fournit un résumé technique concis, des scénarios d'attaque réalistes, des techniques de détection et des étapes de mitigation claires pour les propriétaires de sites et les administrateurs — avec des options pratiques lorsque la mise à jour immédiate n'est pas possible.

Table des matières

  • Aperçu : que s'est-il passé
  • Résumé technique : comment la vulnérabilité fonctionne
  • Scénarios d'attaque réalistes et impact
  • Versions affectées et contexte CVE / CVSS
  • Étapes immédiates pour les administrateurs de sites
  • Comment détecter si vous avez été ciblé
  • Comment atténuer lorsque vous ne pouvez pas mettre à jour immédiatement
  • Renforcement à long terme et meilleures pratiques
  • Comment le patch virtuel aide immédiatement
  • Commandes pratiques et extraits de code (annexe)
  • Remarques finales et calendrier recommandé

Aperçu : que s'est-il passé

Le 3 février 2026, un problème de Cross‑Site Scripting (XSS) stocké dans ONLYOFFICE DocSpace a été divulgué publiquement. La vulnérabilité (CVE‑2024‑11750) permet à un contributeur (un utilisateur authentifié avec des privilèges limités) de soumettre du contenu qui est ensuite rendu sans une sanitation ou un encodage suffisants, entraînant l'exécution de scripts lorsque qu'un autre utilisateur consulte la page ou l'entrée de document affectée. L'auteur du plugin a publié un correctif dans la version 2.1.2.

Cet avis est rédigé pour les propriétaires de sites WordPress et les administrateurs — en particulier les équipes de Hong Kong gérant des sites multi-auteurs, des intranets ou des plateformes d'apprentissage où les comptes de contributeurs sont courants. Lisez ceci et agissez rapidement : le correctif est simple (mise à jour), mais les contrôles intermédiaires réduisent l'exposition pendant que vous testez et déployez le correctif.

Résumé technique : comment la vulnérabilité fonctionne

Le XSS stocké se produit lorsque des données contrôlées par un attaquant sont stockées sur le serveur et ensuite rendues dans des pages sans validation, sanitation et encodage de sortie appropriés.

  • Privilège requis : Contributeur (peut créer du contenu mais ne peut généralement pas publier ou gérer des plugins).
  • Type de vulnérabilité : Cross‑Site Scripting stocké (XSS persistant).
  • Déclencheur : Un contributeur injecte une charge utile dans des champs que le plugin stocke (titre, description, commentaires, métadonnées). Ces champs sont ensuite affichés textuellement dans les vues administratives ou publiques.
  • Risque d'exploitation : If an admin or other high‑privilege user views the payload, the script executes in that user’s browser context, allowing cookie/token theft, privileged actions via authenticated requests, or workspace compromise.
  • Correction : Mise à jour vers ONLYOFFICE DocSpace 2.1.2 — le correctif garantit une désinfection/encodage approprié des champs affectés.

Scénarios d'attaque réalistes et impact

Le XSS stocké est persistant et peut être utilisé comme une arme lorsque des utilisateurs à privilèges plus élevés le déclenchent. Exemples :

  • Compromission du compte administrateur : Un contributeur plante un script dans une description de document. Lorsque l'administrateur ouvre le document, le script exfiltre les tokens de session vers un attaquant et permet la prise de contrôle du site.
  • Défiguration de contenu ou désinformation : Le balisage injecté ajoute des bannières ou des popups trompeurs sur les pages éditoriales, nuisant à la réputation.
  • Chaînage CSRF : Le script effectue des requêtes en arrière-plan vers des points de terminaison administratifs, modifiant les paramètres ou créant des utilisateurs si les protections des points de terminaison sont faibles.
  • Pivot de chaîne d'approvisionnement : Le script localise des identifiants de documents internes, des clés API ou d'autres éléments sensibles de l'interface utilisateur et les fuit.

Même si l'exploitation nécessite qu'un utilisateur privilégié consulte le contenu, le risque est significatif pour les flux de travail éditoriaux où les administrateurs prévisualisent régulièrement les soumissions.

Versions affectées et contexte CVE / CVSS

  • Affecté : ONLYOFFICE DocSpace ≤ 2.1.1
  • Corrigé dans : 2.1.2
  • CVE : CVE‑2024‑11750
  • CVSS v3.1 : CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L (score ~6.5)

Remarques sur le vecteur : l'attaquant a besoin d'un accès réseau et d'un compte de contributeur. Un utilisateur privilégié doit voir ou interagir avec le contenu malveillant (UI:R). La portée est C — l'impact peut franchir les frontières de privilège.

Étapes immédiates pour les administrateurs de site (réduction de risque la plus rapide)

  1. Mettez à jour le plugin (recommandé) : Appliquez ONLYOFFICE DocSpace 2.1.2 dès que possible. Testez sur un environnement de staging avant la production lorsque cela est possible.
  2. Si vous ne pouvez pas mettre à jour immédiatement — atténuations à court terme :
    • Suspendre temporairement ou supprimer les comptes de Contributeurs non fiables que vous ne pouvez pas valider.
    • Changer les rôles des Contributeurs en Abonné ou un rôle personnalisé plus restrictif jusqu'à ce que le correctif soit appliqué.
    • Appliquer la modération du contenu : exiger des brouillons et l'approbation de l'administrateur/éditeur avant que le contenu soumis soit visible par des utilisateurs ayant des privilèges plus élevés.
  3. Appliquer un correctif virtuel avec un WAF : Si la mise à jour est retardée, déployer des règles WAF pour bloquer les charges utiles XSS probables sur les points de terminaison des plugins (voir les suggestions de règles ci-dessous). Le correctif virtuel peut arrêter les tentatives d'exploitation avant qu'elles n'atteignent la logique de l'application.
  4. Scannez à la recherche de contenu malveillant : Search posts, postmeta, comments, and plugin metadata for XSS markers such as
  5. Rotate admin credentials if compromise suspected: Force password resets, invalidate sessions, and rotate any exposed tokens.
  6. Audit high‑privilege actions: Review recent plugin/theme changes, new users, and scheduled tasks for signs of compromise.

How to detect whether you’ve been targeted

Detection combines automated scanning with manual review.

  1. Database search for script tags (quick): Use WP‑CLI or direct DB queries (backup first). Example commands:
# Find posts containing