Sebezhetőséget (CVE-2022-3140) azonosítottak a LibreOffice ingyenes irodai programcsomagban, amely tetszőleges szkriptek futtatását teszi lehetővé, amikor egy dokumentumban egy speciálisan elkészített hivatkozásra kattintanak, vagy ha egy bizonyos esemény aktiválódik a dokumentummal végzett munka során. A problémát a LibreOffice 7.3.6 és 7.4.1 frissítései javították.
A sérülékenységet a LibreOffice-ra jellemző „vnd.libreoffice.command” további makróhívási séma támogatása okozza. Ez a séma a LibreOffice és az MS SharePoint szerver integrálására használt URI-kban is használható. A támadó az ilyen URI-k segítségével hivatkozásokat hozhat létre, amelyek tetszőleges argumentumokkal hívják meg a belső makrókat. Ha a dokumentumban egy eseményre kattintanak vagy aktiválódnak, az ilyen hivatkozások segítségével szkriptek futtathatók anélkül, hogy figyelmeztetést kapnának a felhasználóhoz.
Forrás: opennet.ru