Er is informatie vrijgegeven over twee kwetsbaarheden in de gratis kantoorsoftware LibreOffice, waaraan een hoog ernstniveau is toegekend (8.3 uit 10). De problemen zijn opgelost in recente updates voor LibreOffice 7.6.4 en 7.5.9.
De eerste kwetsbaarheid (CVE-2023-6186) maakt het mogelijk om een willekeurig script uit te voeren wanneer een gebruiker op een speciaal toegevoegde link in een document klikt, waarmee ingesloten macro's of interne opdrachten worden gestart. In bepaalde situaties was het mogelijk om de weergave van een voorlopige waarschuwing over de transactie die werd uitgevoerd bij het klikken op dergelijke links uit te schakelen.
Вторая уязвимость (CVE-2023-6185) позволяет при открытии документа со специально оформленным встроенным видео добиться на платформе Linux выполнения произвольных плагинов к мультимедийному фреймворку Gstreamer. Проблема вызвана отсутствием должного экранирования спецсимволов в имени файла с видео перед обращением к Gstreamer.
Bron: opennet.ru
