ተጋላጭነት (CVE-2022-3140) በነጻ የቢሮ ስብስብ LibreOffice ውስጥ ተለይቷል፣ ይህም በሰነድ ውስጥ የተለየ የተዘጋጀ አገናኝ ጠቅ ሲደረግ ወይም ከሰነድ ጋር ሲሰራ አንድ ክስተት ሲቀሰቀስ የዘፈቀደ ስክሪፕቶችን መፈፀም ያስችላል። ችግሩ በLibreOffice 7.3.6 እና 7.4.1 ዝማኔዎች ላይ ተስተካክሏል።
ተጋላጭነቱ የተፈጠረው ለLibreOffice የተለየ ለተጨማሪ የማክሮ ጥሪ እቅድ 'vnd.libreoffice.command' ድጋፍ በመጨመር ነው። ይህ እቅድ LibreOfficeን ከMS SharePoint አገልጋይ ጋር ለማዋሃድ በሚያገለግሉ ዩአርአይዎች ውስጥም ጥቅም ላይ ሊውል ይችላል። አጥቂ እንደዚህ አይነት ዩአርአይዎችን በመጠቀም ማንኛውንም የውስጥ ማክሮ የዘፈቀደ ክርክሮች የሚጠሩ አገናኞችን መፍጠር ይችላል። በሰነድ ውስጥ ያለ ክስተት ጠቅ ሲደረግ ወይም ሲነቃ እንደዚህ ያሉ ማገናኛዎች ለተጠቃሚው ማስጠንቀቂያ ሳያሳዩ ስክሪፕቶችን ለማስኬድ ሊያገለግሉ ይችላሉ።
ምንጭ: opennet.ru