Informasi sing diwartakake babagan rong kerentanan ing suite kantor gratis LibreOffice, sing paling mbebayani sing bisa ngidini eksekusi kode nalika mbukak dokumen sing dirancang khusus. Kerentanan pisanan didandani tanpa publisitas akeh banget ing rilis Maret 7.4.6 lan 7.5.1, lan kaloro ing nganyari Mei LibreOffice 7.4.7 lan 7.5.3.
Kerentanan pisanan (CVE-2023-0950) duweni potensi ngidini kode dieksekusi ing sistem nalika mbukak spreadsheet sing kalebu rumus sing diowahi khusus, kayata AGGREGATE, sing luwih sithik paramèter sing dilewati saka samesthine. Masalah kasebut disebabake dening underflow indeks array (underflow) ing kode parsing formula (ScInterpreter) sing digunakake ing pangolahan spreadsheet.
Kerentanan kaloro (CVE-2023-2255) ngidini panyerang nyiapake dokumen sing digawe khusus sing, nalika dibukak tanpa panjaluk utawa bebaya, bakal mbukak pranala njaba, sing ora cocog karo prilaku LibreOffice sing diumumake, sing nuduhake bebaya nalika ngemot konten sing gegandhengan. Masalah kasebut disebabake bug ing kode panyuwunan ijin nalika nggunakake mekanisme "Floating Frames", sing padha karo iframe ing HTML lan ngidini isi file eksternal dilebokake kanthi dinamis ing dokumen kasebut.
Source: opennet.ru
