Kerentanan (CVE-2022-3140) telah dikenal pasti dalam suite pejabat percuma LibreOffice, yang membenarkan pelaksanaan skrip sewenang-wenangnya apabila pautan yang disediakan khas dalam dokumen diklik atau apabila peristiwa tertentu dicetuskan semasa bekerja dengan dokumen. Masalahnya telah dibetulkan dalam kemas kini LibreOffice 7.3.6 dan 7.4.1.
Kerentanan ini disebabkan oleh penambahan sokongan untuk skim panggilan makro tambahan 'vnd.libreoffice.command', khusus untuk LibreOffice. Skim ini juga boleh digunakan dalam URI yang digunakan untuk menyepadukan LibreOffice dengan pelayan MS SharePoint. Penyerang boleh menggunakan URI sedemikian untuk membuat pautan yang memanggil mana-mana makro dalaman dengan hujah arbitrari. Apabila acara dalam dokumen diklik atau diaktifkan, pautan tersebut boleh digunakan untuk menjalankan skrip tanpa memaparkan amaran kepada pengguna.
Sumber: opennet.ru