V brezplačnem pisarniškem paketu LibreOffice je bila ugotovljena ranljivost (CVE-2022-3140), ki omogoča organizacijo izvajanja poljubnih skriptov ob kliku na posebej pripravljeno povezavo v dokumentu ali ob sprožitvi določenega dogodka med delom z dokumentom. Težava je bila odpravljena v posodobitvah LibreOffice 7.3.6 in 7.4.1.
Ranljivost povzroča dodana podpora za dodatno shemo klicanja makrov 'vnd.libreoffice.command', ki je značilna za LibreOffice. To shemo je mogoče uporabiti tudi v URI-jih, ki se uporabljajo za integracijo LibreOffice s strežnikom MS SharePoint. Napadalec lahko uporabi takšne URI-je za ustvarjanje povezav, ki kličejo katere koli notranje makre s poljubnimi argumenti. Ko jih klikne ali jih sproži dogodek v dokumentu, se lahko takšne povezave uporabijo za zagon skriptov, ne da bi uporabniku prikazali opozorilo.
Vir: opennet.ru