COLLABORA ONLINE 中存在多个漏洞

描述

Collabora Online 是一项基于 LibreOffice 主项目代码构建的服务器服务，可在 Web 浏览器中提供一系列文档类型的显示和协作可视化编辑。它由 Zimbra (Zimbra Docs Zimlet) 或 ownCloud 等应用程序使用。

问题）

Synacktiv 发现以下影响 Collabora Online 的漏洞：

• SSRF（服务器端请求伪造）使用webservice().

• SSRF（服务器端请求伪造）/使用文件转换器的文件泄露。

• 向用户泄露敏感信息 (JailID)。

2 个 SSRF 漏洞的严重程度很大程度上取决于环境，但应从中到高考虑。ubercomp这些漏洞已通过 CVE-2023-49788独立报告给 Collabora Online 安全团队。

JailID 泄露是一个低严重性漏洞，编号为CVE-2024-25114。

技术细节

使用 webservice() 的 SSRF（服务器端请求伪造）

描述

使用 Collabora Online（酷），可以使用用户可用的常用 LibreOffice 功能来创建/编辑 LibreOffice Calc 文档。通过该webservice()函数，可以使用 URL 方案请求任意httpURL https。例如，可以请求外部资源或内部资源（酷 Web 服务正在侦听端口 9980）：

因此，在云环境中，可以请求元数据端点，http://169.254.169.254/openstack 例如OpenStack：

例如 CollaboraOnline 部署在 AWS 环境中：

影响

该漏洞的影响取决于Lool服务运行的环境。可以访问内部服务，也可以访问云环境中的元数据端点。

SSRF（服务器端请求伪造）/使用文件转换器泄露文件

描述

LibreOffice 文档可以嵌入 OLE 对象。当文档转换为Excel 2003时，OLE对象的路径将进行相应处理：

• 如果使用该方案，则为文件file。

• http如果使用,https或方案，则为服务器资源ftp。

通过执行以下步骤，用户可以访问服务器上的本地文件：

• 创建本地 LibreOffice 文档。

• 插入一个指向良性文件的 OLE 对象（例如/etc/hosts）。

• 保存文件。

• 将其上传到 LibreOffice Online。

• 将其下载为Excel 2003 Spreadsheet.

/etc/passwd在 LibreOffice 本地打开后，来自远程服务器的文件内容就会显示：

相同的过程可以与方案一起使用来http/https请求本地或远程服务并获得答案。

影响

默认情况下，Collabora Online 工作人员受到严格沙箱处理（挂载监狱、seccomp 等），文件泄露的影响有限。然而，使用http/https方案时，必须考虑到先前漏洞中提出的相同问题（访问云元数据端点）。

CVE-2024-25114 - 向用户泄露敏感信息 (JailID)

描述

Collabora Online 在沙箱之上使用随机 ID 来限制 Cool Worker 中漏洞的影响。

使用 LibreOffice 的本机CELL()功能，用户可以JailID通过以下方式访问它CELL("filename")：

参考：

https://github.com/LibreOffice/online/blob/master/wsd/README