近日，LogicalDOC、Mayan、ONLYOFFICE和OpenKM的开源和免费文档管理系统（DMS）产品中披露了八个未修补的安全漏洞。网络安全公司Rapid7表示，这八个漏洞提供了一种机制，通过该机制，“攻击者可以说服操作员将恶意文档保存在平台上，一旦文档被用户索引并触发，攻击者就可以通过多种途径控制组织。”这八个跨站点脚本（XSS）漏洞分别被跟踪为：ONLYOFFICE：CVE-2022-47412，OpenKM：CVE-2022-47413和CVE-2022-47414，LogicalDOC：CVE-2022-47418，Mayan：CVE-2022-47419。[阅读原文]