En sårbarhet (CVE-2022-3140) er identifisert i den gratis kontorpakken LibreOffice, som tillater utførelse av vilkårlige skript når en spesielt forberedt lenke i et dokument klikkes eller når en bestemt hendelse utløses mens du arbeider med et dokument. Problemet ble løst i LibreOffice 7.3.6 og 7.4.1 oppdateringer.
Sårbarheten er forårsaket av tillegg av støtte for et ekstra makrooppkallingsskjema 'vnd.libreoffice.command', spesifikt for LibreOffice. Dette skjemaet kan også brukes i URIer som brukes til å integrere LibreOffice med MS SharePoint-serveren. En angriper kan bruke slike URIer til å lage koblinger som kaller opp alle interne makroer med vilkårlige argumenter. Når en hendelse i et dokument klikkes eller aktiveres, kan slike lenker brukes til å kjøre skript uten å vise en advarsel til brukeren.
Kilde: opennet.ru