Katika ofisi ya LibreOffice suite
Udhaifu huo unasababishwa na ukweli kwamba sehemu ya LibreLogo, iliyoundwa kwa ajili ya kufundisha upangaji programu na kuingiza michoro ya vekta, hutafsiri shughuli zake katika msimbo wa Python. Kwa uwezo wa kutekeleza maagizo ya LibreLogo, mshambuliaji anaweza kusababisha msimbo wowote wa Python kutekeleza katika muktadha wa kipindi cha sasa cha mtumiaji kwa kutumia amri ya "kukimbia" iliyotolewa katika LibreLogo. Kutoka kwa Python, kwa kutumia mfumo () kazi, unaweza, kwa upande wake, kupiga amri za mfumo wa kiholela.
LibreLogo ni kipengele cha hiari, lakini LibreOffice inatoa macros kwa chaguo-msingi ambayo hukuruhusu kupiga simu LibreLogo na haihitaji uthibitisho wa operesheni na usionyeshe onyo, hata wakati hali ya juu zaidi ya ulinzi mkubwa imewashwa (kuchagua kiwango cha "Juu Sana" )
Ili kushambulia, unaweza kufunga jumla kama hiyo kwa kidhibiti cha tukio ambacho kimeanzishwa, kwa mfano, wakati kielekezi cha kipanya kinapoelea juu ya eneo fulani au umakini wa ingizo unapowashwa kwenye hati (tukio la onFocus). Matokeo yake, wakati wa kufungua hati iliyoandaliwa na mshambuliaji, inawezekana kufikia utekelezaji wa siri wa msimbo wa Python, bila kujua kwa mtumiaji. Kwa mfano, katika mfano wa unyonyaji ulioonyeshwa, wakati wa kufungua hati, kihesabu cha mfumo kinazinduliwa bila onyo.
Udhaifu ulisasishwa kimya kimya katika sasisho la LibreOffice 6.2.5, iliyotolewa mnamo Julai 1, lakini kama ilivyotokea, shida haikuondolewa kabisa (kupiga simu kwa LibreLogo kutoka kwa macros pekee kulizuiwa) na
Chanzo: opennet.ru