تم التعرف على ثغرة أمنية (CVE-2022-3140) في مجموعة البرامج المكتبية المجانية LibreOffice، والتي تسمح بتنفيذ نصوص برمجية عشوائية عند النقر على رابط معد خصيصًا في مستند أو عند تشغيل حدث معين أثناء العمل مع مستند. تم إصلاح المشكلة في تحديثات LibreOffice 7.3.6 و7.4.1.
سبب الثغرة الأمنية هو إضافة دعم لنظام استدعاء ماكرو إضافي 'vnd.libreoffice.command'، خاص بـ LibreOffice. يمكن أيضًا استخدام هذا المخطط في عناوين URI المستخدمة لدمج LibreOffice مع خادم MS SharePoint. يمكن للمهاجم استخدام عناوين URL هذه لإنشاء روابط تستدعي أي وحدات ماكرو داخلية باستخدام وسيطات عشوائية. عند النقر على حدث في مستند أو تنشيطه، يمكن استخدام هذه الارتباطات لتشغيل البرامج النصية دون عرض تحذير للمستخدم.
المصدر: opennet.ru