Уязвимост в LibreOffice, която позволява изпълнение на скрипт при работа с документ

В безплатния офис пакет LibreOffice е идентифицирана уязвимост (CVE-2022-3140), която позволява изпълнението на произволни скриптове при щракване върху специално подготвена връзка в документ или при задействане на определено събитие по време на работа с документ. Проблемът беше коригиран в актуализациите на LibreOffice 7.3.6 и 7.4.1.

Уязвимостта е причинена от добавянето на поддръжка за допълнителна схема за извикване на макроси „vnd.libreoffice.command“, специфична за LibreOffice. Тази схема може да се използва и в URI, използвани за интегриране на LibreOffice със сървъра на MS SharePoint. Нападателят може да използва такива URI, за да създаде връзки, които извикват всякакви вътрешни макроси с произволни аргументи. Когато се щракне върху събитие в документ или се активира, такива връзки могат да се използват за изпълнение на скриптове, без да се показва предупреждение на потребителя.

Източник: opennet.ru