Kerentanan (CVE-2022-3140) telah diidentifikasi di suite kantor LibreOffice gratis, yang memungkinkan pengorganisasian eksekusi skrip arbitrer ketika mengklik tautan yang disiapkan khusus dalam dokumen atau ketika peristiwa tertentu dipicu saat bekerja dengan dokumen. Masalah ini telah diperbaiki pada pembaruan LibreOffice 7.3.6 dan 7.4.1.
Kerentanan ini disebabkan oleh penambahan dukungan skema pemanggilan makro tambahan 'vnd.libreoffice.command' khusus untuk LibreOffice. Skema ini juga dapat digunakan di URI yang digunakan untuk mengintegrasikan LibreOffice dengan server MS SharePoint. Penyerang dapat menggunakan URI tersebut untuk membuat tautan yang memanggil makro internal apa pun dengan argumen arbitrer. Saat diklik atau dipicu oleh peristiwa dalam dokumen, tautan tersebut dapat digunakan untuk menjalankan skrip tanpa menampilkan peringatan kepada pengguna.
Sumber: opennet.ru