Haavoittuvuus (CVE-2022-3140) on tunnistettu ilmaisessa toimistoohjelmistossa LibreOffice, joka sallii mielivaltaisten komentosarjojen suorittamisen, kun asiakirjassa olevaa erityisesti valmistettua linkkiä napsautetaan tai kun tietty tapahtuma laukeaa dokumentin parissa työskentelemisen aikana. Ongelma korjattiin LibreOffice 7.3.6- ja 7.4.1 -päivityksillä.
Haavoittuvuuden aiheuttaa lisätty tuki LibreOfficea koskevalle lisämakrokutsujärjestelmälle vnd.libreoffice.command. Tätä mallia voidaan käyttää myös URI:issa, joita käytetään LibreOfficen integroimiseen MS SharePoint -palvelimeen. Hyökkääjä voi käyttää tällaisia URI-tunnisteita luodakseen linkkejä, jotka kutsuvat mitä tahansa sisäisiä makroja mielivaltaisilla argumenteilla. Kun asiakirjan tapahtumaa napsautetaan tai se aktivoidaan, tällaisia linkkejä voidaan käyttää komentosarjojen suorittamiseen ilman, että käyttäjälle näytetään varoitusta.
Lähde: opennet.ru