CVE-2025-68936CVE-2025-68936是ONLYOFFICE Docs文档服务器中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于Color主题名称处理功能中,攻击者可以通过在主题名称中注入恶意JavaScript脚本代码,当其他用户查看或使用该主题时,恶意代码将在受害者浏览器中执行。ONLYOFFICE Docs是一款开源的在线文档编辑服务器,支持文档的在线创建、编辑和协作。由于其广泛部署于企业和组织的内网环境中,该漏洞可能影响大量用户的文档安全。攻击者利用此漏洞可以窃取用户会话cookie、劫持用户账户、执行恶意操作或进行钓鱼攻击。漏洞影响版本为9.2.1之前的ONLYOFFICE Docs。
该漏洞属于存储型XSS(Stored XSS)类型,攻击向量位于ONLYOFFICE Docs的Color主题配置功能模块。当用户创建或修改Color主题时,系统未对主题名称进行充分的输入验证和输出编码。攻击者可以在主题名称字段中注入恶意JavaScript代码,如:<script>alert(document.cookie)</script>。由于主题名称会被存储在服务器端并在下一次加载主题时被读取并渲染到页面中,所有访问该主题的用户都会触发恶意脚本执行。攻击者需要具有低权限用户账户即可利用此漏洞,无需用户交互即可完成攻击。漏洞的根本原因在于后端API未对用户输入进行安全过滤,前端模板渲染时也未进行适当的HTML实体编码。