Se ha identificado una vulnerabilidad (CVE-2022-3140) en la suite ofimática gratuita LibreOffice, que permite la ejecución de scripts arbitrarios cuando se hace clic en un enlace especialmente preparado en un documento o cuando se activa un determinado evento mientras se trabaja con un documento. El problema se solucionó en las actualizaciones de LibreOffice 7.3.6 y 7.4.1.
La vulnerabilidad se debe a la adición de soporte para un esquema de llamada de macro adicional 'vnd.libreoffice.command', específico de LibreOffice. Este esquema también se puede utilizar en los URI utilizados para integrar LibreOffice con el servidor MS SharePoint. Un atacante puede utilizar dichos URI para crear enlaces que llamen a cualquier macro interna con argumentos arbitrarios. Cuando se hace clic o se activa un evento en un documento, dichos enlaces se pueden usar para ejecutar scripts sin mostrar una advertencia al usuario.
Fuente: opennet.ru