У вільному офісному пакеті LibreOffice виявлено вразливість (CVE-2022-3140), що дозволяє організувати виконання довільних скриптів при натисканні на спеціально підготовлене посилання в документі або при спрацюванні певної події під час роботи з документом. Проблему вирішено в оновленнях LibreOffice 7.3.6 та 7.4.1.
Вразливість викликана додаванням підтримки додаткової схеми виклику макросів 'vnd.libreoffice.command', специфічної LibreOffice. Цю схему в тому числі можна використовувати в URI, які застосовуються для інтеграції LibreOffice із сервером MS SharePoint. Атакуючий може скористатися подібними URI для створення посилань, що викликають будь-які внутрішні макроси з довільними аргументами. При натисканні або активації за подією в документі подібні посилання можуть використовуватися для запуску скриптів без попередження користувачеві.
Джерело: opennet.ru