Descubriuse unha vulnerabilidade (CVE-2022-3140) no paquete de ofimática de código aberto LibreOffice. Esta vulnerabilidade permite executar scripts arbitrarios ao premer unha ligazón especialmente deseñada nun documento ou ao activarse un evento específico mentres se traballa co documento. O problema foi corrixido en LibreOffice 7.3.6 e 7.4.1.
A vulnerabilidade débese á adición de compatibilidade cun esquema adicional de chamadas de macros, «vnd.libreoffice.command», específico de LibreOffice. Este esquema tamén se pode usar en URIs empregados para integrar LibreOffice con servidor MS SharePoint. Un atacante pode usar estes URI para crear ligazóns que chamen a calquera macro interna con argumentos arbitrarios. Cando se fan clic nelas ou se activan mediante un evento no documento, estas ligazóns poden usarse para executar scripts sen mostrar un aviso ao usuario.
Fonte: opennet.ru
