Identifikovana je ranjivost (CVE-2022-3140) u besplatnom kancelarijskom paketu LibreOffice, koji omogućava izvršavanje proizvoljnih skripti kada se klikne na posebno pripremljen link u dokumentu ili kada se pokrene određeni događaj tokom rada sa dokumentom. Problem je riješen u ažuriranjima LibreOfficea 7.3.6 i 7.4.1.
Ranjivost je uzrokovana dodatkom podrške za dodatnu shemu makro poziva 'vnd.libreoffice.command', specifičnu za LibreOffice. Ova šema se takođe može koristiti u URI-jima koji se koriste za integraciju LibreOfficea sa MS SharePoint serverom. Napadač može koristiti takve URI-je za kreiranje veza koje pozivaju sve interne makroe sa proizvoljnim argumentima. Kada se klikne ili aktivira događaj u dokumentu, takve veze se mogu koristiti za pokretanje skripti bez prikazivanja upozorenja korisniku.
izvor: opennet.ru