W bezpłatnym pakiecie biurowym LibreOffice została zidentyfikowana luka (CVE-2022-3140), która umożliwia wykonanie dowolnych skryptów po kliknięciu specjalnie przygotowanego łącza w dokumencie lub zaistnieniu określonego zdarzenia podczas pracy z dokumentem. Problem został rozwiązany w aktualizacjach LibreOffice 7.3.6 i 7.4.1.
Luka wynika z dodania obsługi dodatkowego schematu wywoływania makr „vnd.libreoffice.command”, specyficznego dla LibreOffice. Schemat ten można zastosować także w identyfikatorach URI używanych do integracji LibreOffice z serwerem MS SharePoint. Osoba atakująca może użyć takich identyfikatorów URI do utworzenia łączy wywołujących dowolne wewnętrzne makra z dowolnymi argumentami. Po kliknięciu lub aktywacji zdarzenia w dokumencie takie łącza mogą służyć do uruchamiania skryptów bez wyświetlania ostrzeżenia użytkownikowi.
Źródło: opennet.ru