| प्लगइन का नाम | ONLYOFFICE DocSpace |
|---|---|
| कमजोरियों का प्रकार | क्रॉस-साइट स्क्रिप्टिंग (XSS) |
| CVE संख्या | CVE-2024-11750 |
| तात्कालिकता | कम |
| CVE प्रकाशन तिथि | 2026-02-03 |
| स्रोत URL | CVE-2024-11750 |
प्रमाणित (योगदानकर्ता) संग्रहीत XSS ONLYOFFICE DocSpace में (<= 2.1.1) — साइट मालिकों को अब क्या करना चाहिए
सारांश: ONLYOFFICE DocSpace संस्करण ≤ 2.1.1 (CVE‑2024‑11750) में संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) की एक भेद्यता एक प्रमाणित उपयोगकर्ता को योगदानकर्ता विशेषाधिकारों के साथ स्क्रिप्ट पेलोड्स संग्रहीत करने की अनुमति देती है जो अन्य उपयोगकर्ताओं के ब्राउज़रों में निष्पादित होती हैं। संस्करण 2.1.2 में सुधार शामिल है। यह सलाह एक संक्षिप्त तकनीकी सारांश, वास्तविक हमले के परिदृश्य, पहचान तकनीक, और साइट मालिकों और प्रशासकों के लिए स्पष्ट शमन कदम प्रदान करती है — जब तत्काल अपडेट करना संभव नहीं हो तो व्यावहारिक विकल्पों के साथ।.
सामग्री की तालिका
- अवलोकन: क्या हुआ
- तकनीकी सारांश: भेद्यता कैसे काम करती है
- यथार्थवादी हमले के परिदृश्य और प्रभाव
- प्रभावित संस्करण और CVE / CVSS संदर्भ
- साइट प्रशासकों के लिए तत्काल कदम
- यह कैसे पता करें कि क्या आप लक्षित हुए हैं
- जब आप तुरंत अपडेट नहीं कर सकते हैं तो कैसे शमन करें
- दीर्घकालिक मजबूत करना और सर्वोत्तम प्रथाएँ
- वर्चुअल पैचिंग तुरंत कैसे मदद करती है
- व्यावहारिक कमांड और कोड स्निपेट्स (परिशिष्ट)
- अंतिम नोट्स और अनुशंसित समयरेखा
अवलोकन: क्या हुआ
3 फरवरी 2026 को ONLYOFFICE DocSpace में संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) समस्या सार्वजनिक रूप से प्रकट की गई। भेद्यता (CVE‑2024‑11750) एक योगदानकर्ता (एक प्रमाणित उपयोगकर्ता जिसके पास सीमित विशेषाधिकार हैं) को सामग्री प्रस्तुत करने की अनुमति देती है जो बाद में पर्याप्त सफाई या एन्कोडिंग के बिना प्रस्तुत की जाती है, जिसके परिणामस्वरूप स्क्रिप्ट निष्पादन होता है जब कोई अन्य उपयोगकर्ता प्रभावित पृष्ठ या दस्तावेज़ प्रविष्टि को देखता है। प्लगइन लेखक ने संस्करण 2.1.2 में एक पैच जारी किया।.
यह सलाह वर्डप्रेस साइट मालिकों और प्रशासकों के लिए लिखी गई है — विशेष रूप से हांगकांग में बहु-लेखक साइटों, इंट्रानेट्स, या शिक्षण प्लेटफार्मों का प्रबंधन करने वाली टीमों के लिए जहां योगदानकर्ता खाते सामान्य हैं। इसे पढ़ें और जल्दी कार्रवाई करें: सुधार सरल है (अपडेट), लेकिन अंतरिम नियंत्रणों से जोखिम कम होता है जबकि आप पैच का परीक्षण और लागू करते हैं।.
तकनीकी सारांश: भेद्यता कैसे काम करती है
संग्रहीत XSS तब होता है जब हमलावर-नियंत्रित डेटा सर्वर पर संग्रहीत होता है और बाद में उचित सत्यापन, सफाई, और आउटपुट एन्कोडिंग के बिना पृष्ठों में प्रस्तुत किया जाता है।.
- आवश्यक विशेषाधिकार: योगदानकर्ता (सामग्री बना सकता है लेकिन आमतौर पर प्रकाशित या प्लगइन्स का प्रबंधन नहीं कर सकता)।.
- कमजोरियों का प्रकार: संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (स्थायी XSS)।.
- ट्रिगर: एक योगदानकर्ता उन फ़ील्ड में एक पेलोड इंजेक्ट करता है जिन्हें प्लगइन संग्रहीत करता है (शीर्षक, विवरण, टिप्पणियाँ, मेटाडेटा)। उन फ़ील्ड को बाद में व्यवस्थापक या सार्वजनिक दृश्य में शब्दशः प्रदर्शित किया जाता है।.
- शोषण जोखिम: If an admin or other high‑privilege user views the payload, the script executes in that user’s browser context, allowing cookie/token theft, privileged actions via authenticated requests, or workspace compromise.
- सुधार: ONLYOFFICE DocSpace 2.1.2 में अपडेट करें — पैच प्रभावित क्षेत्रों की उचित सफाई/कोडिंग सुनिश्चित करता है।.
यथार्थवादी हमले के परिदृश्य और प्रभाव
संग्रहीत XSS स्थायी है और इसे उच्च-विशेषाधिकार उपयोगकर्ताओं द्वारा सक्रिय किए जाने पर हथियार बनाया जा सकता है। उदाहरण:
- व्यवस्थापक खाता समझौता: एक योगदानकर्ता एक दस्तावेज़ विवरण में एक स्क्रिप्ट लगाता है। जब एक व्यवस्थापक दस्तावेज़ खोलता है, तो स्क्रिप्ट सत्र टोकन को एक हमलावर को निकालती है और साइट पर कब्जा करने की अनुमति देती है।.
- सामग्री विकृति या गलत सूचना: इंजेक्ट किया गया मार्कअप संपादकीय पृष्ठों पर धोखाधड़ी वाले बैनर या पॉपअप जोड़ता है, जिससे प्रतिष्ठा को नुकसान होता है।.
- CSRF चेनिंग: स्क्रिप्ट व्यवस्थापक अंत बिंदुओं पर पृष्ठभूमि अनुरोध करता है, यदि अंत बिंदु सुरक्षा कमजोर है तो सेटिंग्स बदलता है या उपयोगकर्ता बनाता है।.
- आपूर्ति-श्रृंखला पिवट: स्क्रिप्ट आंतरिक दस्तावेज़ आईडी, एपीआई कुंजी, या अन्य संवेदनशील यूआई आइटम को खोजता है और उन्हें लीक करता है।.
भले ही शोषण के लिए एक विशेषाधिकार प्राप्त उपयोगकर्ता को सामग्री देखने की आवश्यकता हो, संपादकीय कार्यप्रवाहों के लिए जोखिम महत्वपूर्ण है जहां व्यवस्थापक नियमित रूप से प्रस्तुतियों का पूर्वावलोकन करते हैं।.
प्रभावित संस्करण और CVE / CVSS संदर्भ
- प्रभावित: ONLYOFFICE DocSpace ≤ 2.1.1
- में ठीक किया गया: 2.1.2
- CVE: CVE‑2024‑11750
- CVSS v3.1: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L (स्कोर ~6.5)
वेक्टर पर नोट्स: हमलावर को नेटवर्क एक्सेस और एक योगदानकर्ता खाता चाहिए। एक विशेषाधिकार प्राप्त उपयोगकर्ता को दुर्भावनापूर्ण सामग्री को देखना या उसके साथ इंटरैक्ट करना चाहिए (UI:R)। दायरा C है — प्रभाव विशेषाधिकार सीमाओं को पार कर सकता है।.
साइट व्यवस्थापकों के लिए तात्कालिक कदम (सबसे तेज़ जोखिम में कमी)
- प्लगइन को अपडेट करें (सिफारिश की गई): जितनी जल्दी हो सके ONLYOFFICE DocSpace 2.1.2 लागू करें। जब संभव हो, उत्पादन से पहले स्टेजिंग पर परीक्षण करें।.
- यदि आप तुरंत अपडेट नहीं कर सकते — अल्पकालिक शमन:
- असत्यापित योगदानकर्ता खातों को अस्थायी रूप से निलंबित या हटा दें जिन्हें आप मान्य नहीं कर सकते।.
- योगदानकर्ताओं की भूमिकाएँ सब्सक्राइबर या एक कस्टम भूमिका में बदलें जब तक पैच लागू नहीं हो जाता।.
- सामग्री मॉडरेशन को लागू करें: उच्च-privilege उपयोगकर्ताओं द्वारा प्रस्तुत सामग्री को देखने से पहले ड्राफ्ट और व्यवस्थापक/संपादक अनुमोदन की आवश्यकता करें।.
- WAF के साथ आभासी पैचिंग लागू करें: यदि अपडेट में देरी होती है, तो प्लगइन एंडपॉइंट्स पर संभावित XSS पेलोड को ब्लॉक करने के लिए WAF नियम लागू करें (नीचे नियम सुझाव देखें)। आभासी पैचिंग शोषण प्रयासों को एप्लिकेशन लॉजिक तक पहुँचने से पहले रोक सकती है।.
- दुर्भावनापूर्ण सामग्री के लिए स्कैन करें: Search posts, postmeta, comments, and plugin metadata for XSS markers such as
- Rotate admin credentials if compromise suspected: Force password resets, invalidate sessions, and rotate any exposed tokens.
- Audit high‑privilege actions: Review recent plugin/theme changes, new users, and scheduled tasks for signs of compromise.
How to detect whether you’ve been targeted
Detection combines automated scanning with manual review.
- Database search for script tags (quick): Use WP‑CLI or direct DB queries (backup first). Example commands:
# Find posts containing
