免费办公套件 LibreOffice 中已发现一个漏洞 (CVE-2022-3140),该漏洞允许在单击文档中专门准备的链接或在处理文档时触发特定事件时执行任意脚本。 该问题已在 LibreOffice 7.3.6 和 7.4.1 更新中修复。
该漏洞是由于添加了对特定于 LibreOffice 的附加宏调用方案“vnd.libreoffice.command”的支持而引起的。 此方案还可用于用于将 LibreOffice 与 MS SharePoint 服务器集成的 URI。 攻击者可以使用此类 URI 创建使用任意参数调用任何内部宏的链接。 当单击或激活文档中的事件时,此类链接可用于运行脚本,而不向用户显示警告。
来源: opennet.ru