Yn 'e koartlyn oankundige frijlitting fan' e kantoarsuite Apache OpenOffice 4.1.15 waarden fjouwer kwetsberens rêstich fêstlein (de ynformaasje waard in pear dagen nei de frijlitting iepenbiere en ynformaasje oer de kwetsberens waard ynearsten net neamd yn 'e list mei wizigingen):
- Kwetsberens CVE-2023-1183 lit gegevens wurde skreaun nei in willekeurige triem op it systeem, foarsafier't tastien is troch tagongsrjochten, by it iepenjen fan spesjaal ûntworpen OBD-bestannen (Office Binder Document) yn OpenOffice Base. De oanfal wurdt útfierd troch it tafoegjen fan in "database / skript" -bestân mei in SCRIPT-kommando oan it dokumint, wêrfan de ynhâld skreaun is nei in nij bestân, it paad wêrnei't de oanfaller kin oantsjutte.
- De kwetsberens fan CVE-2012-5639 lit ynterne as eksterne boarnen automatysk wurde laden en iepene sûnder de brûker te warskôgjen. De kwetsberens waard ûntdutsen yn LibreOffice yn 2012, mar it probleem waard sluten as ferkeard. De kwetsberens waard lykwols fêstlein yn LibreOffice 4.2 yn 2014, mar waard net opmurken yn OpenOffice.
- Kwetsberens CVE-2022-43680 lit jo potensjeel jo koade útfiere by it iepenjen fan spesjaal ûntworpen dokuminten yn in situaasje wêr't d'r net genôch ûnthâld is om se te ferwurkjen. De kwetsberens resultearret yn in ûnthâld tagong nei fergees (Gebrûk nei fergees) fanwege in flater yn de libexpat bibleteek, dy't wurdt brûkt om te parse gegevens yn XML-formaat. It probleem is fêst yn libexpat 2.4.9.
- Kwetsberens CVE-2023-47804 lit jo in keppeling pleatse yn in dokumint dat in makro ropt mei willekeurige arguminten, en jo skript útfiere as de brûker op dizze keppeling klikt of as eveneminten yn ferbân mei it dokumint automatysk aktivearre wurde sûnder de operaasje earst te befêstigjen . De kwetsberens definiearret in nije oanfalsvektor foar útjefte CVE-2022-47502, fêst yn OpenOffice 4.1.14.
Boarne: opennet.ru
