免費辦公室套件 LibreOffice 中已發現一個漏洞 (CVE-2022-3140),該漏洞允許在單擊文件中專門準備的連結或在處理文件時觸發特定事件時執行任意腳本。該問題已在 LibreOffice 7.3.6 和 7.4.1 更新中修復。
此漏洞是由於增加了對特定於 LibreOffice 的附加巨集呼叫方案「vnd.libreoffice.command」的支援而引起的。此方案也可用於將 LibreOffice 與 MS SharePoint 伺服器整合的 URI。攻擊者可以使用此類 URI 建立使用任意參數呼叫任何內部巨集的連結。當單擊或啟動文件中的事件時,此類連結可用於執行腳本,而不向使用者顯示警告。
來源: opennet.ru