Vulnerabileco (CVE-2022-3140) estis identigita en la senpaga oficeja aro LibreOffice, kiu ebligas ekzekuton de arbitraj skriptoj kiam speciale preta ligilo en dokumento estas klakita aŭ kiam certa evento estas ekigita dum laborado kun dokumento. La problemo estis riparita en la ĝisdatigoj de LibreOffice 7.3.6 kaj 7.4.1.
La vundebleco estas kaŭzita de aldono de subteno por kroma makrovoka skemo 'vnd.libreoffice.command', specifa por LibreOffice. Ĉi tiu skemo ankaŭ povas esti uzata en URIoj uzataj por integri LibreOffice kun la MS SharePoint-servilo. Atakanto povas uzi tiajn URIojn por krei ligilojn kiuj vokas iujn ajn internajn makroojn kun arbitraj argumentoj. Kiam evento en dokumento estas klakita aŭ aktivigita, tiaj ligiloj povas esti uzataj por ruli skriptojn sen montri averton al la uzanto.
fonto: opennet.ru