Une vulnérabilité (CVE-2022-3140) a été identifiée dans la suite bureautique gratuite LibreOffice, qui permet l'exécution de scripts arbitraires lorsqu'un lien spécialement préparé dans un document est cliqué ou lorsqu'un certain événement est déclenché lors de l'utilisation d'un document. Le problème a été résolu dans les mises à jour LibreOffice 7.3.6 et 7.4.1.
La vulnérabilité est causée par l'ajout de la prise en charge d'un schéma d'appel de macro supplémentaire « vnd.libreoffice.command », spécifique à LibreOffice. Ce schéma peut également être utilisé dans les URI utilisés pour intégrer LibreOffice au serveur MS SharePoint. Un attaquant peut utiliser de tels URI pour créer des liens appelant des macros internes avec des arguments arbitraires. Lorsqu'un événement dans un document est cliqué ou activé, ces liens peuvent être utilisés pour exécuter des scripts sans afficher d'avertissement à l'utilisateur.
Source: opennet.ru