Nella suite per ufficio gratuita LibreOffice è stata individuata una vulnerabilità (CVE-2022-3140) che consente l'esecuzione di script arbitrari quando si fa clic su un collegamento appositamente preparato in un documento o quando viene attivato un determinato evento mentre si lavora con un documento. Il problema è stato risolto negli aggiornamenti di LibreOffice 7.3.6 e 7.4.1.
La vulnerabilità è causata dall'aggiunta del supporto per uno schema di chiamata macro aggiuntivo, 'vnd.libreoffice.command', specifico di LibreOffice. Questo schema può essere utilizzato anche negli URI utilizzati per integrare LibreOffice con server MS SharePoint. Un aggressore può utilizzare tali URI per creare collegamenti che richiamano macro interne con argomenti arbitrari. Quando vengono cliccati o attivati da un evento nel documento, tali collegamenti possono essere utilizzati per eseguire script senza visualizzare alcun avviso all'utente.
Fonte: opennet.ru
