Nella suite per ufficio gratuita LibreOffice è stata individuata una vulnerabilità (CVE-2022-3140) che consente l'esecuzione di script arbitrari quando si fa clic su un collegamento appositamente preparato in un documento o quando viene attivato un determinato evento mentre si lavora con un documento. Il problema è stato risolto negli aggiornamenti di LibreOffice 7.3.6 e 7.4.1.
La vulnerabilità è causata dall'aggiunta del supporto per uno schema di chiamata macro aggiuntivo "vnd.libreoffice.command", specifico di LibreOffice. Questo schema può essere utilizzato anche negli URI utilizzati per integrare LibreOffice con il server MS SharePoint. Un utente malintenzionato può utilizzare tali URI per creare collegamenti che richiamano qualsiasi macro interna con argomenti arbitrari. Quando si fa clic o si attiva un evento in un documento, tali collegamenti possono essere utilizzati per eseguire script senza visualizzare un avviso all'utente.
Fonte: opennet.ru