Уязвимость в LibreOffice, позволяющая выполнить скрипт при работе с документом

В свободном офисном пакете LibreOffice выявлена уязвимость (CVE-2022-3140), позволяющая организовать выполнение произвольных скриптов при клике на специально подготовленную ссылку в документе или при срабатывании определённого события во время работы с документом. Проблема устранена в обновлениях LibreOffice 7.3.6 и 7.4.1.

Уязвимость вызвана добавлением поддержки дополнительной схемы вызова макросов ‘vnd.libreoffice.command’, специфичной для LibreOffice. Данную схему в том числе можно использовать в URI, применяемых для интеграции LibreOffice с сервером MS SharePoint. Атакующий может воспользоваться подобными URI для создания ссылок, вызывающих любые внутренние макросы с произвольными аргументами. При клике или активации по событию в документе подобные ссылки могут использоваться для запуска скриптов без вывода предупреждения пользователю.

Источник: opennet.ru

Добавить комментарий