У вольным офісным пакеце LibreOffice выяўленая ўразлівасць (CVE-2022-3140), якая дазваляе арганізаваць выкананне адвольных скрыптоў пры кліку на адмыслова падрыхтаваную спасылку ў дакуменце або пры спрацоўванні вызначанай падзеі падчас працы з дакументам. Праблема ўхілена ў абнаўленнях LibreOffice 7.3.6 і 7.4.1.
Уразлівасць выклікана даданнем падтрымкі дадатковай схемы выкліку макрасаў 'vnd.libreoffice.command', спецыфічнай для LibreOffice. Дадзеную схему ў тым ліку можна выкарыстоўваць у URI, якія выкарыстоўваюцца для інтэграцыі LibreOffice з серверам MS SharePoint. Атакуючы можа скарыстацца падобнымі URI для стварэння спасылак, якія выклікаюць любыя ўнутраныя макрасы з адвольнымі аргументамі. Пры кліку або актывацыі па падзеі ў дакуменце падобныя спасылкі могуць выкарыстоўвацца для запуску скрыптоў без вываду папярэджання карыстальніку.
Крыніца: opennet.ru