U besplatnom uredskom paketu LibreOffice identificirana je ranjivost (CVE-2022-3140) koja omogućuje izvršavanje proizvoljnih skripti kada se klikne na posebno pripremljenu poveznicu u dokumentu ili kada se tijekom rada s dokumentom pokrene određeni događaj. Problem je riješen u ažuriranjima LibreOffice 7.3.6 i 7.4.1.
Ranjivost je uzrokovana dodatkom podrške za dodatnu shemu pozivanja makroa 'vnd.libreoffice.command', specifičnu za LibreOffice. Ova se shema također može koristiti u URI-jima koji se koriste za integraciju LibreOfficea s MS SharePoint poslužiteljem. Napadač može koristiti takve URI-je za stvaranje veza koje pozivaju bilo koje interne makronaredbe s proizvoljnim argumentima. Kada se klikne ili aktivira događaj u dokumentu, takve veze mogu se koristiti za pokretanje skripti bez prikazivanja upozorenja korisniku.
Izvor: opennet.ru