Zehfbûnek (CVE-2022-3140) di pakêta nivîsgeha belaş LibreOffice de hate nas kirin, ku destûrê dide darvekirina nivîsarên keyfî dema ku zencîreyek taybetî ya amadekirî di belgeyekê de were klîk kirin an dema ku bûyerek diyarkirî dema ku bi belgeyekê re dixebite tê tikandin. Pirsgirêk di LibreOffice 7.3.6 û 7.4.1 de hate rastkirin.
Zehfbûn ji ber zêdekirina piştgirîyê ji bo plansaziyek bangewaziya makro ya zêde 'vnd.libreoffice.command', ku ji bo LibreOffice taybetî ye, pêk tê. Ev pilan jî dikare di uris de were bikar anîn ku ji bo entegrekirina LibreOffice bi servera MS SharePoint re were bikar anîn. Anrîşker dikare uris bikar bîne da ku girêdan biafirîne ku bi argumanên xweser re bi makrozên navxweyî re dibêjin. Dema ku bûyerek di belgeyê de tête klîk kirin an çalakkirin, girêdan dikarin bêne bikar anîn bêyî ku hûn bikarhênerek ji bikarhêner re nîşan bidin.
Source: opennet.ru