Эксперты Bi.Zone выявили цепочку уязвимостей в офисном пакете OnlyOffice Desktop Editors. С ее помощью злоумышленники могли повысить привилегии в системе. Об этом CNews сообщили представители Bi.Zone.
OnlyOffice Desktop Editors — офисный пакет с открытым исходным кодом. По данным компании, им пользуются более 15 млн человек по всему миру. Согласно оценке команды Bi.Zone TDR, около 30% российских компаний применяют это программное обеспечение.
Группа исследования уязвимостей Bi.Zone выявила несколько проблем в OnlyOffice Desktop Editors, которым были присвоены идентификаторы CVE. По шкале CVSS 3.1 уязвимости CVE-2025-68917, CVE-2025-68935 и CVE-2025-68936 получили оценку 6,4. Также специалисты обнаружили в продукте уязвимости CVE-2026-41030 и CVE-2023-2033. Компанию-разработчика проинформировали об угрозах в рамках политики ответственного разглашения, после чего она выпустила обновление, которое их устраняет.
Угроза затрагивает компании, использующие OnlyOffice в качестве сервиса для просмотра и редактирования офисных цифровых документов. Уязвимости возникли из-за недостаточной проверки пользовательских данных и использования устаревших зависимостей.
При эксплуатации уязвимостей CVE-2023-2033, CVE-2025-68917, CVE-2025-68935 и CVE-2025-68936 злоумышленник мог добиться выполнения произвольного кода в операционной системе. Для этого жертве достаточно было открыть офисный документ, специально подготовленный атакующим. После выполнения кода злоумышленник мог воспользоваться CVE-2026-41030 и повысить доступ до привилегированного пользователя в системах с Windows.
Павел Блинников, руководитель группы исследования уязвимостей, Bi.Zone: «В классических фишинговых атаках с вредоносными макросами атакующий должен вовлечь пользователя и подтолкнуть его к дополнительным действиям. В обнаруженной цепочке уязвимостей достаточно открыть файл: никакого другого взаимодействия не требуется, поэтому она относится к классу 1-click. В случае ее успешной эксплуатации злоумышленник получает возможность выполнять произвольный код с максимальными привилегиями — от имени суперпользователя. При этом современные СЗИ не детектируют эксплуатацию цепочки, поэтому она особенно опасна и может пройти полностью незамеченной».
Чтобы устранить обнаруженные уязвимости, рекомендуется обновить OnlyOffice Desktop Editors до версии 9.3.0.


