Varnarleysi (CVE-2022-3140) hefur verið greint í ókeypis skrifstofupakkanum LibreOffice, sem gerir kleift að framkvæma handahófskenndar forskriftir þegar smellt er á sérstaklega útbúinn hlekk í skjali eða þegar ákveðinn atburður kemur af stað þegar unnið er með skjal. Vandamálið var lagað í LibreOffice 7.3.6 og 7.4.1 uppfærslum.
Varnarleysið stafar af því að bætt hefur verið við stuðningi við viðbótar stórkallakerfi „vnd.libreoffice.command“, sérstakt fyrir LibreOffice. Þetta kerfi er einnig hægt að nota í URI sem notuð eru til að samþætta LibreOffice við MS SharePoint þjóninn. Árásarmaður getur notað slíkar URI til að búa til tengla sem kalla á hvaða innri fjölvi sem er með handahófskenndum rökum. Þegar smellt er á atburði í skjali eða það virkjað er hægt að nota slíka tengla til að keyra forskriftir án þess að birta viðvörun til notanda.
Heimild: opennet.ru