En sårbarhet (CVE-2022-3140) har identifierats i den kostnadsfria kontorssviten LibreOffice, som tillåter exekvering av godtyckliga skript när en speciellt förberedd länk i ett dokument klickas eller när en viss händelse utlöses när man arbetar med ett dokument. Problemet åtgärdades i LibreOffice 7.3.6 och 7.4.1 uppdateringar.
Sårbarheten orsakas av tillägget av stöd för ett ytterligare makroanropsschema 'vnd.libreoffice.command', specifikt för LibreOffice. Detta schema kan också användas i URI:er som används för att integrera LibreOffice med MS SharePoint-servern. En angripare kan använda sådana URI:er för att skapa länkar som anropar alla interna makron med godtyckliga argument. När en händelse i ett dokument klickas eller aktiveras kan sådana länkar användas för att köra skript utan att visa en varning för användaren.
Källa: opennet.ru