Εντοπίστηκε μια ευπάθεια (CVE-2022-3140) στη δωρεάν σουίτα γραφείου LibreOffice, η οποία επιτρέπει την οργάνωση της εκτέλεσης αυθαίρετων σεναρίων όταν κάνετε κλικ σε έναν ειδικά προετοιμασμένο σύνδεσμο σε ένα έγγραφο ή όταν ένα συγκεκριμένο συμβάν ενεργοποιείται κατά την εργασία με ένα έγγραφο. Το ζήτημα έχει επιδιορθωθεί στις ενημερώσεις του LibreOffice 7.3.6 και 7.4.1.
Η ευπάθεια προκαλείται από την προσθήκη υποστήριξης για ένα πρόσθετο σχήμα κλήσεων μακροεντολών «vnd.libreoffice.command» που είναι ειδικά για το LibreOffice. Αυτό το σχήμα μπορεί επίσης να χρησιμοποιηθεί σε URI που χρησιμοποιούνται για την ενοποίηση του LibreOffice με τον διακομιστή MS SharePoint. Ένας εισβολέας μπορεί να χρησιμοποιήσει τέτοια URI για να δημιουργήσει συνδέσμους που καλούν οποιεσδήποτε εσωτερικές μακροεντολές με αυθαίρετα ορίσματα. Όταν γίνεται κλικ ή ενεργοποιείται από ένα συμβάν σε ένα έγγραφο, τέτοιοι σύνδεσμοι μπορούν να χρησιμοποιηθούν για την εκτέλεση σεναρίων χωρίς να εμφανίζεται προειδοποίηση στον χρήστη.
Πηγή: opennet.ru