OnlyOffice Community Server 文件上传漏洞

• 漏洞编号：CVE-2023-34939
  
• 漏洞类型：路径遍历
• 漏洞等级：严重
• 发布时间：2023-07-03

漏洞描述：

Onlyoffice 是一款全能的开源写作办公套件

2023年6月26日，Onlyoffice发布Onlyoffice Community Server 12.5.2版本，新版本修复了一处路径遍历漏洞，漏洞编号：CVE-2023-34939，漏洞危害等级：严重。

当ONLYOFFICE Community Server的论坛存在讨论话题时，未经授权的攻击者可上传任意文件并导致任意代码执行，从而控制服务器。

影响版本：

修复建议

官方已发布新版本中修复上述漏洞，受影响用户请尽快升级到安全版本。
漏洞修复版本：
Onlyoffice Community Server >=12.5.2
下载链接:
https://github.com/firsov/onlyoffice

参考链接:

https://github.com/ONLYOFFICE/CommunityServer/blob/master/CHANGELOG.md#version-1252
https://github.com/firsov/onlyoffice
https://github.com/firsov/onlyoffice/blob/main/CVE-2023-34939-PoC.md