En sårbarhed (CVE-2022-3140) er blevet identificeret i den gratis kontorpakke LibreOffice, som tillader udførelse af vilkårlige scripts, når der klikkes på et specielt forberedt link i et dokument, eller når en bestemt hændelse udløses, mens der arbejdes med et dokument. Problemet blev rettet i LibreOffice 7.3.6 og 7.4.1 opdateringer.
Sårbarheden er forårsaget af tilføjelsen af understøttelse af et ekstra makrokaldeskema 'vnd.libreoffice.command', specifikt for LibreOffice. Dette skema kan også bruges i URI'er, der bruges til at integrere LibreOffice med MS SharePoint-serveren. En angriber kan bruge sådanne URI'er til at oprette links, der kalder alle interne makroer med vilkårlige argumenter. Når en hændelse i et dokument klikkes eller aktiveres, kan sådanne links bruges til at køre scripts uden at vise en advarsel til brugeren.
Kilde: opennet.ru